Очередной безбашенной ночью задумал распотрошить некий сайтик ( назовём его zalupa.com ). В процессе выяснилось, что сайт самописный и так просто сдаваться не хочет. Однако в движке Zalupa.ru всё же нашелся уязвимый параметр, позволяющий проводить sql инъекции. Благодаря ей было выявлено, что:

1. Версия БД mysql 4.2-log (?ld=-1+union+select+1,2,version(),4/*)
2. Скрипт работал с БД от имени пользователя chelsi
3. Права пользователя в БД выставлены грамотно и не позволяли просматривать другие базы.
4. Была возможность читать файлы, и включены magic_quotes
5. Стоял никсовый сервер, это видно из версии mysql.

По стандартным путям файл конфигурации web сервера найти не удалось. Попытка определения полного пути до сайта, так же не увенчалась успехом. Но гениальные мысли бывают. Немного подумав, пришла в голову шальная мысль – «А что если прочитать файл таблицы mysql.user физически?». База mysql хранилась по дефолтовому пути в /var/lib/mysql/, в чем можно было убедиться, прочитав passwd.

Получился запрос:

union+select+1,2, LOAD_FILE(0x2F7661722F6C69622F6D7973716C2F6D797371 6C2F757365722E6D7964),4/*

Таким макаром был прочтен файл с данными таблицы mysql.user (/var/lib/mysql/mysql/user.myd) и вытащен хеш пароля пользователей БД и пароль root-а, (который как ни странно, был легко сбручен). Удаленно подключится к БД не давала огненная стена, зато был найден phpmyadmin, с помощью него стало возможно более подробно взглянуть на базу. В ней нужного не оказалось. Для получения мирового господства оставалось не много, получить доступ…SSH…

Т.к. у нас нет полного пути до веб директории - пришлось идти другим путем. В конфигах sshd демона /etc/ssh/sshd_config нашлись строки, разрешающие аутентификацию по ключам:

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

Далее взглянув еще раз в файлик /etc/passwd увидел в нем строчку:

mysql :*:777:777:Mysqld server:/usr/local/mysql/:/bin/bash

что давало надежду получить возможность выполнения команд c привелегиями в системе пользователся mysql. Сгенерировав с помощью putty пару ключей ( публичный и приватный ) и выполнив нехитрый запрос в phpmyadmin:

select “ssh-rsa AAAAB3NzaC1...бла.бла.бла...kEi/eF9btr7yc= rsa-key-200807023” into outfile ‘/usr/local/mysql/.ssh/authorized_keys’.

Увидел, что phpMyAdmin, как послушная гимназистка, выполнил без ошибки этот запрос.

Заюзав putty с ключами, я без проблем подключился к серверу, в ответ получил приглашение bash оболочки.

Вот и «солнце» вышло.

P.S.
Требует наличия прописанного шелла юзверу mysql, что бывает очень редко.
Параметры sshd не всегда позволяют подключения по ключам.
Ну и остальные мелочи ))


By f1rebl00d//