ANTICHAT — форум по информационной безопасности, OSINT и технологиям

На днях на одном новостном портале увидел банер \супер хостинг по очень низким ценам\, ну, и перешел на сайт этого супер хостинга. Сразу бросился в глаза классный дизайн!!! ) Но как говорится: "Встречают по одежке"!!!
Смс сайта была самописная (по скулям ничего не нашел, все говорило, что программисты там не пинают %).

Решил начать изучение сайта с гугли. По индексации ничего полезного не нарыл. Решил пройтись сканером nikto! И нашел диру под названием calendar--[скрыл реальное название , т.к. не стану выкладывать в паблик уязвимость., во благо пиЯнеров )]

Календарь носил личный характер(его вел админ). Двиг календаря был публичным скриптом. Конечно, захотелось почекать его на sql и получилось , нашлась скуля.
Версия мускула 5 ))) На лице появилась улыбка!

По этому запросу нашел таблицу users_cal
Вывел хеш админа:
После подбора получил пароль вида: te5tgc[e !)
Зашел в админку, но ничего путного не нашел!
Нацелил свою пати на 22 порт супер хостинга, но после ввода , мне сказали сходить вон, чего я и ожидал.

Далее по копирайтам чудо-продукта, двинулся залить себе на хард, чудо-исходники.
Поставив сее локально, нашел 2 пасс.xss и раскрытие пути, последнее натолкнуло на привязку к скуле!
Раскрытие происходило при передаче в кукисах вместо сессии вида: 6234682lkhfg346346346t3y34 обычной одинарной ' ) или при обращение к файлу /inc/mail.conf.php!!!!!

Поехали дальше.

И увидел /etc/passwd ! Это уже радует. Имея путь и исходники я без всяких проблем просмотрел config календаря и вытянул оттуда пасс и логин от базы.!
База была не главной , а конкретно под календарь, но вот логин от базы я нашел в passwd и данный юзер имел bash!) Опять зацепил 22 порт и уже внутри. Удача , как она хороша. !!)

Прав было мало я мог просматривать только диру с календарем и все. В корень сайта попасть не мог.
uname -a показал ,что сплоиты отпадают! ps -aux , из активных процессов я увидел антивирус под названием clamd. Да, крутая хостинг контора, а на лицензии экономит и юзает фриварный антивирь. Это и стало ошибкой ребят из супер конторы супер хостинга.
Выполнив /usr/sbin/clamd -V номер версии был 0.67 )
Что не радовало. Многие конечно же догнали к чему я веду. Изучив /etc/clamav.conf, откуда я узнал ,что проверка на малварь ведется из под рута. Теперь к теории.-->

Баг стар как мир , т.е. антивирь сканит и находит наш подсадной вирь (любой, я сделал текстовый) с названием конечно не troy ,а например, id;uname- a
Сейчас кто не догнал все поймет. !!!

Полез я в /tmp убедился, что могу создавать файло , командую дальше :
echo "FFASGAS/&^%#@$%(P*)785$$TEST-ANTIVIR-FILE!$H+H*" >./troyan =)
Понюхав нашу заразу, антивирус по всем правилам завоняет , даже не безобидную малварь. Но имя как писалось выше не подходило, надо было что-нить с ";" дабы выполнить команды под рутам (антивирь пашет под рутом). Но вот тут облом был в том, что нельзя использовать бекслеш в названии моего виря, т.е. нельзя было в названии указать путь к файлу и запустить его !!!!!
Но решение я нашел. Мне надо было реализовать активацию моего самопального друга-бекдора, меняющего uid и gid , а затем он должен запустить интерпретатор. Начал тестить мою идею, но оказалось ,что в системе нет gcc ((, но бинарные форматы никто не отменял. Сделав все у себя на сервере , я перенес на супер хостинг при помощи wgeta в диру /tmp/ как super. Как уже говорил про слЭши , решение было найдено в набивки отдельного sh -скрипта ., назвав его /tmp/good :
Потом для меня настала пора подумать над названием моей малвари. Мне надо было заставить clamd запустить /tmp/good, который установит суид-бит на бекдор /tmp/super
Зная ,что clamd работает в корневом каталоге, я сделал следующие:

mv troyan ';cd tmp;export PATH= 'pwd';super'

И поставив + на /tmp/good. Теперь осталось ждать, когда начнется сканирование системы.

Через пару часов залез на шелл и увидел суидный /tmp/test ))) Сервер был повержен.

Ну и последствия: 6к аков!