Nabourání do databáze webových miniaplikací Mozektevidi.net - Píše Olda Šálek.

Nabourání do databáze webových miniaplikací

I velká společnost jako je blueboard.cz může mít nezabezpečený webu proti hacknutí. Celá databáze včetně hesel via blueboard.cz. Hromadná změna hesel. (u články byl 28. 10. 2016 změněn nadpis. Článek není aktuální)

image of Nabourání do databáze webových miniaplikací

Hack blueboard.cz

Dostal jsem se na adresu: http://www.blueboard.cz/index.php?engine=users&upage=users_1&k=6 a viděl tam nějaký seznam stránek. Zkusil jsem upravit parametry v adrese třeba na http://www.blueboard.cz/index.php?engine=users&upage=users_1&k=5 a zkoušel jsem různé kombinace.

Dostávnám se na 9MB html stránku, kde jsou opravdu všichni. I já jsem se kdysi registroval u Blueboard.cz a byl tam i odkaz na můj web! Stránku jsem si uložil a nechal to být. To byla chyba.

Napsal jsem o tom článek na soom. Reakce nenechaly dlouho čekat. Všimnul si toho cURLy bOi a začal to více zkoumat. Použil php injekci o které jsem já v té době neměl ani potuchy. Zde je kopie článku na soom.cz:

Autor: :: cURLy bOi ::

Omlouvam se ze budu psat bez diakritiky, pise se mi tak rychleji :) V sobotu 23.4 jsem si precetl Mozkuv clanek ohledne seznamu uzivatelu na portalu blueboard.cz. Podival jsem se na zmineny seznam a napadlo me, ze je to celkem k nicemu. Zajimavejsi mi prisel puvodni link, ktery znel tusim http://blueboard.cz/index.php?engine=users&upage=users_2. Jako clovek znaly PHP injekce jsem hned zkusil index.php?engine=ahoj. Vysledek negativni. Pak me napadla jina vec. Zkusil jsem index.php?engine=users&upage=ahoj. Zasah. Stranka vratila PHP error, cosi ve stylu "not found file for inclusion". Heureka! Nahral jsem si na server jednoduchy php skript pro praci se soubory (dekuji kubazovi aspol. za SUB) a zkusil ho inkludovat pomoci vyse zmineneho skriptu. Jiste si dovedete predstavit moji radost, kdyz na me vybafl seznam souboru s moznostmi view, rename, delete, edit aj. Pote jsem odjel ven a nechal jsem server na pospas svemu osudu, abych se na nej po navratu opet vrhl. Po chvili radeni mi ale zacalo vsechno mizet. Backdoory, ktere jsem uploadoval zmizely a i dira, ktere jsem vyuzil se zdala byt zaplatovana. Pomyslel jsem si ze tak skoncil velky hack serveru BB. Jak nesmirne jsem se mylil...

Z puvodniho pruniku se mi dochovala jen zaloha souboru index.php. V nudne chvili jsem si ho procital kdyz tu jsem narazil na zvlastni radku. Znela asi takto: require($leftmenu.".php"); Jako clovek znaly PHP inkluze.... no nebudu to protahovat. Tentokrat jsem sel na jistotu. Udelal jsem si jednoduchy skript, ktery vypsal obsah souboru config.php. Po vykonani jsem si soubor precetl a ihned jsem nasel heslo k MySQL databazi. Adresa serveru byla localhost. Zkusil jsem si DNS lookup na blueboard.cz, avsak nemohl jsem najit PHPMyAdmina. Z dalsiho zkoumani jsem zjistil 2 IP adresy: 217.11.249.137 a 217.11.249.141, pricemz na druhe jel phpmyadmin. Prihlasil jsem se uzitim hesla z config.php ale k memu udivu se v databazi vubec nenachazely tabulky jako ankety, ci uzivatele, kamz se nektere skripty na serveru uzitim databaze odkazovaly. Prislo mi to zvlastni, tabulka se prece schovat neda... Pak me napadlo si trochu pohrat s url. 217.11.249.137/phpmyadmin ... negativni, 217.11.249.138/phpmyadmin ... negativni, 217.11.249.139/phpmyadmin ... opet negativni. Skoro jsem to chtel vzdat. Zbyvala jen jedina ip. 217.11.249.140 ... ZASAH! Server odpovedel obratem a vratil login obrazovku. Zkusil jsem stesti zjistenym loginem a heslem. Opet zasah. Prihlasil jsem se do databaze.

Sami vidite, ze i velmi znamy a na prvni pohled duveryhodny server muze mit tak zacatecnicke chyby jako je php inkluze. Pritom by stacilo zamenit require($promena.".php"); za require("./".$promena.".php"); Doufam ze tento clanek bude poucenim vsem, kteri pouzivaji na svych strankach include z parametru url. Ve jmenu otce, syna i ducha svateho, AMEN!

Tak to je konec hacku Blueboard

Uvedený link už nefunguje hodí to chybu: Fatal error: main() [function.require]: Failed opening required "users.php" (include_path=".:/usr/local/share/pear") in /data_da0/www/www_blueboard_cz/index.php on line 471

 

Je vidět, že chybovat může opravdu každý, i velká společnost jako blueboard, společnost jenž nabízí webhosting, hosting, návštěvní knihy, počítadla… to vše si dobrovolně dáte na stránky a je vám jedno, že můžete ostrouhat.


autor článku Oldřich Šálek | datum publikování 18.listopad.2006 20:07 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku