Взлом odintsovo. su и. ru как это было и что из этого вышло /класика/ ! ! !
Статья большая написана не связаными отрывками и с грамматическими ошибками
Помоему уже 3 предисловие: Написание статьи явно затянулось, но хочеться охватить все аспекты взлома данного сайта ведь это такая обширная тема. Вот перечитавую ее уж не первой десяток раз, дописываю редактирую и все равно кажеться что я кого то в ней обижаю. Но это не так просто хочеться показать ошибки простых пользователей, ведь я на этом деле сам погорел не раз. Поэтому заранее прошу прощения у тех кто считает что их обидели.
Еще одно предисловие: Долго меня тут не было, то двоюродная сестренка приезжала развлекал ее, то пришлось в Германию в командировку поехать, и это было даже очень кстати: приехал обратно попытался сунуться в админку odintsovo. su и меня ждала радость, меня туда не пустили сказали типа "Ваш пароль не верен" ну подумал я, не уже ли админ занялся безопасностью сервера и поскольку у меня было 15-20 минут, то проверил свой шелл на сервере и...... и он там до сих пор болтался, ну я как обычно опять огорчился и у меня появилось желание пристрелить админа, НУ НЕ УЖЕ ЛИ НЕЛЬЗЯ ОБНОВЛЯТЬ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПО МЕРЕ ЕГО ВЫХОДА.
Кстати в Германию я не просто по делам фирмы ездил, а еще и навестить друзей в фирме Rohde & Schwarz правда для этого пришлось посетить Мюнхен, и попросил у них месячишка на 2 их кетчер/cetcher/ GA-901, и получил его /правда под предлогом русифицировать интерфейс/ так же оборудование для так называемого «lautlos SMS» /отдельную статью можно писать как это все через границу пришлось тянуть/, Вы спросите для чего я это пишу, а помните статью «shy наносит первый удар» так вот я пообещал там статью про телефоны красивейших девушек в одинцово, так вот статья будет, еще раз повторюсь что там будут фигурировать телефоны которые мы добыли в следствии написания статьи, и там точно не будет телефонов которые мне дали сами девушки, так же там не будет телефонов Леночки - это точно.
Предисловие: сначала написал статью и изложил все как было на самом деле, и хотел было ее уже опубликовать, но ее увидел брат и задал каверзный вопрос про SQL-инъекцию, а поскольку я сам столкнулся с этим в 3 или 4 раз, то понял, что подавляющее большинство пользователей /читателей/ на odintsovo. su и. ru этого не поймут, а уж объяснять что такое «брутфорс» и «эксплоит» или зачем я заливал шелл на сервер, для простых пользователей мне не под силу. Поэтому не долго думая я проанализировал полученную мною информацию, еще немного посмотрел на пользовательскую базу, и переписал статью так, что б любой пользователь мог понять всю соль взлома, ну и сахар конечно тоже /тем более что некоторые пользователи сменили пароли и я их не сильно подставляю/.
Пожалуй начнем: тихая ночь только не большие капельки дождя слегка барабанят по стеклу, я только что оставил прощальное письмо Ленке на сайте в форуме и хотел было ложиться спать, но тут решил попробывать банальный перебор паролей поскольку login пользователей все знают /это слово или набор букв до @ в Вашем e-mail/. То оставалось узнать только пароль, я просмотрел фото всех девушек /по какой причине только девушек все догадались/ отобрал из них блондинок в одну кучку, это как правило пароли вида: 010,7610(привет одноклассникам),123. Брюнеток в другую, здесь пароли как правило вида: rfhfufylf, tahtvjdt, hbknjh, NoPassword, rhjdm - ну что сказать забыли переключить раскладку клавиатуры..... бывает. Удача не сильно улыбалась мне и в итоге за час я подобрал только 5 паролей.
Тут хочеться сделать одно пояснение если перебирать пароли на вход в пользовательскую админку, то будут вестись логи на личной странице и это меня выдаст. Поэтому пришлось воспользоваться вот чем: когда регистрируешься на сайте тебе предлагают завести почтовый ящик и для этого нужно всего поставить галку и написать пару символов и даже если пользователю ящик и даром не нужен то срабатывает российский менталитет /авось пригодиться/ и почти все его регистрируют / 93-97% / поскольку пароли на акаунт и почту одинаковые то можно сделать такую загогулину: на главной странице есть формочка для захода в почту и проблема в том что эти логи никуда не пишутся и благодаря этому подбор можно делать пока не надоест. Но вскоре мне надоело это занятие и я понял: путь тупиковый и нужно было приступать к реальному взлому.
Небольшое введение в Linux подобные системы, это просто необходимое условие для общего понимания взлома, постараюсь написать этот абзац предельно просто. В Linux подобных системах как правило все действия пользователей записываются в логи там можно найти почти все от удаленного письма администратора пользователем с сообщением что их пароль изменился, до паролей самих админов который они вводят при входе. Также с таких системах есть файлик с неприхотливым названием passwrd в котором храняться разные пароли на вход в различные сервисы такие как: FTP, telnet, phpmyadmin, ну и конечно на вход в админку портала. Так же в похожем файлике могут храниться пароли простых пользователей, но о них попозже. Так вот задача сводиться как прочитать этот файлик.
Так вот из вас кто нибудь знает что такое SQL – инъекция?! Объясняю: к примеру при авторизации вы вводите свой login: ponti и password: 1978 и вас авторизуют а если попробывать ввести что-то похожее на: /тут в запросе специально допущена ошибка на всякий случай/ А прочитать файлик можно просто подставив путь до него в параметр например для закачки фоток или редактирования текста только не забудьте в конце строки вставить %00 и будет вам удача.
Но для меня такой способ мало подходил и я пошел другим путем в лог файлах я нашел вот что: www. odintsovo. su/odin_admin/
login: ya_admin
pass: Ru_Su_pass
А это был вход в админку сайта, зайдя под учетной записью администратора, я начил изучать внутренности сайта. Я мог изменять статус пользователей, банить их, менять аваторы, авторизировать изменять все что угодно и давать призы от администрации /один приз кто помнит 20 очков/ вначале не сильно наглея я ввел циферку 2 и Ленке добавилось 40 очков рейтинга. Но тут мой взгляд привлек ее пароль, я перешел на свою страницу и...... и понял что админов нужно к стенке ставить через одного. Когда регистрируешься на @***** или @***** приходит сообщение о том что пароль не востанавливается если вы забыли его, а при ответе на секретный вопрос Вам предложат ввести новый пароль, а не восстоновят старый. Кто нибудь думал ПОЧЕМУ не востанавливают старый?! Да просто в базе он лежит ввиде MD5 хеша /как правило, правда бывают и зашифрованный 3DES и даже SHA-1 / и восстановить его проблематично и мало реально, хотя 30% - 50% все же после 2-3 недель перебора подобрать можно. А тут пароли лежат в открытом виде, естественно я скачал нужные мне страницы! ! ! ! ! Уже светало и я решил поспать. В этот день мне предстаяла командировка в Германию. И перед самым выходом я зашел в админку портала и в графе «приз от администрации» ввел значение 50.000 модем пошуршав светодиодами через минуту обновил страницу и моему взору предстало значение 1.000.000 очков рейтинга, довольной собой я со спокойной душой свалил в аэропорт.
Теперь читаем 2-ое предисловие.
После прилета меня ждало вот что: сайт естественно обновился в плане безопасности, но старые дырки это старые дырки и похоже что залатывать их не кто не собирался поэтому я прошел этот же путь заново и..... и понял что администрация установила phpmyadmin, естественно пароли к нему лежали в логах, я решил попробывать следущий кусок логов он сулил очень многое:
www. phpmyadmin. odintsovo. su
login: odintsovo_site
pass: oRU_SUdbPass05
И действительно моему взору открылся phpmyadmin на главной странице я сразу выбрал русский язык и отправился в раздел odin там было около 36 баз, меня интересовали только 2: reg_user и access_user /за правильность названий не ручаюсь/ В первой базе все пароли пользователей естественно в открытом виде, а вот во второй информация по пользователям их почтовые ящики которые Вы вводили что бы в случае забывчивости пароля его Вам выслали на почту! ! ! Эту информацию в свободном доступе не было и поэтому она представляла ценность. Под каждой из таблиц был пунктик «Версия для печати» мне был нужен именно он зарузив страницу я сохранил ее.
Небольшое отступление: Админы заметили наглость в 1.000.000 очков и поменяли пароли на вот что:
http://www. odintsovo. su/odin_admin/
login: RuSu_admin
pass: asJh_12Jh1!
А на главной странице появилась надпись: Если Вы не можете войти под своим паролем на порталы odintsovo. su и *****, зайдите на страницу авторизации пользовательского интерфейса www. *****/user/ и введите свой ник в поле "Логин". Нажмите кнопку "напомнить". Пароль Вам вышлется на почту, которую Вы указали при регистрации и на почту на нашем сервере (если у Вас она есть).
Меня ждало не большое разочерование админы стали поголовно VIP пользователям менять пароли на вот такую ерунду: ti5rNva, 90S0nGkO, OHaR996a. Я слил новый дамп таблиц и....
Многи кто дочитал до этого момента могут сказать что все это бред и максимум что я могу это оставлять коментарии от имени любого пользователя и это не представляет особого интереса, таким можно сказать только одно ребята берем любую книжку по социальной инженерии и..... и узнаем что большинство пользователей имееют 1-2 пароля на все свои аккаунты в интернете. А у меня ведь в руках пароль и почтовые ящики пользователей пробуем:
Что б хоть как-то отвечать букве закона я буду ставить вместо 1-3 цифр звездочку если кто-то захочет то он сам найдет не достающии циферки! ! !
Мария Петракова:
login: mariya pass: 111222
На odintsovo. info pass такой же. Пароль на почту /*****@***ru/ и Аську не подходит. С помощью кетчера /cetcher/ GA-901 выясняем ее номер это 8 ***
Филипова Анастасия:
login: neon pass: rfrnec
На odintsovo. info не искал. Почта *****@***ru подходит. В почте кстати лежит ее мобильник это 8 *** Да ее я предупредил за 3 дня что ее почта взломана и успеет она ее исправить или нет не знаю! ! !
Симанова Мария:
login: simanova pass: shalom
На odintsovo. info не искал. Почта *****@***ru подходит. В Почте обнаружилась телефон только ее сестры /и домашний, и сотовый/. Сбросил левую СМСку в стиле “Ань забыл телефон твоей сестры скинь пожайлуста. Денис” Ответ был таков +* и +7 *** Кстати по-моему из ее ящика скачал клевую презинтацию и пару клевых картинок.
Седова Мария:
login: erica pass: ericsson
На odintsovo. info не искал. Есть почта *****@***ru тут ждал меня полный облом.
Сотникова Наталия:
login: seadast pass: forever
На odintsovo. info не искал. Почта *****@***ru???????????????????
Репина Валерия:
login: lychik pass: 22 или 155965
На odintsovo. info не искал. Почта *****@***ru нашел там только домашний Да объявление о продаже домака где-то в тихом океане.
Швыряева Елена: Без коментариев.
Валуйская Екатерина:
login: tori pass: 000
На odintsovo. info не искал. Есть почтамп *****@***ru пароль подходил в почте ни чего интересного не нашел а через 5 дней его сменили. Видно я выдал свое присутствие в нем. Можно только сказать этой девушке БРАВО! ! !
Михайлова Анна:
login: anet pass: 1233
На odintsovo. info не искал. Почта *****@***ru в ней легко находиться телефон 8 *** Есть Аска ее не проверял.
Родина Елена:
login: elen pass: 5068487
На odintsovo. info не искал. Почта *****@***ru пароль естественно работает В переписке так же выясняеться что это сотовый номер 8 *** По СМСился с ней все расказал на сайте pass изменился на 7275253ele на почту не проверял.
Смирнова Дарья:
в инфо лежит телефон 8 у нее 2 аккаунта на сайте с паролями 123 и qwe Так вот на дней постибался: позвонив ей на мобильный представился администратором odintsovo. su Сказал что на сайте нельзя иметь 2 аккаунта и я ее вычеркиваю на хрен если она не.... позвоните ей и спросите что было дальше.
Осина Мария:
А тут получился облом в старой моей базе не было а вот в новой ей админы уже успели дать такую фигню m06v79 почта у нее *****@***ru и я было уже подумал что не почитаю ее почту но тут подвернулся случай зайдя в ее админку я сразу увидел табличку «неудачные заходы в админку» и увидел что она раз 5 ошибалась и вводила другие пароли и было их два: 316497 и пойдя на @mail я понял что не ошибся но к сожелению там кроме переписки с десятком бой френдов не было более не чего, правда пара фоток все-таки привлекли мое внимание. А в общем опять облом. Как показала дальнейшая переписка по Аське это злая девушка как я ее не упрашивал дать свой мобильный так я его и не получил хотя я уже говорил что те кто дали мне номер телефона сами в списках фигурировать не будут! ! !
Ну и наконец СЛАДКОЕ:
Самая азартная девушка, Селезнева Марианна:
пароль представлял собой домашний телефон потом когда я воспользовался им он подходил к Аське а она в это время стала в ней ставить режим что б ее видели только те кто находиться в ее контакт листе а меня там не было поэтому я добавил паручку контактов ей и все, но она это заметила она его сменила на недописанную фразу признания в любви. Есть почта *****@***ru именно так на писано в регистрации но зная Марианну я все-таки подставил еще одну букву и не ошибся /в почте допущенна ошибка/ пароль подходил и внутри обнаружилась переписка с парочкой MP3 файлов и еще одной очень интересной фотой /Кстати спасибо за песенку добавил его себе в сотовый /PalmOne Treo 650 кстати очень хороший телефон всем советую кто собираеться обновить свой/ Первая мысль после просмотра фотки «не ужели опять виртуалы». Надеюсь я ни чьи авторские право я не нарушил. Там в подписи каждого письма есть ее телефон 8 910 ***Кто захочет тот найдет более интересного я там ничего не нашел простая рабочая беседа.
Мария Палий:
Найдите на странице разговор с некой Аленой и многое станет ясно там же можно найти обрывки номера 8 ** 97 остается узнать 2 цифры :
http://love. *****/my/access. phtml? oid=4590559&secret=120414&goto=newmessages
Как видете я оставил еще много белых страниц практически не проверяя Аськи и регистрацию на других порталах, а так же не трогал мужское население сайта. Как мне кажеться статья опять сырая с ошибками /и не только грамматическими/ на момент выкладки статьи все пароли были действующими хотя слегка могли и содержать ошибки. Может кто продолжит мое дело более удачно хотелось б видеть телефон Осиной Марии, Человековой Натальи, Рыбаковой Екатерины, И ОЧЕНЬ ХОЧЕТЬСЯ ЗНАТЬ ЛЮБИМОЕ БЛЮДО ЛЕНКИ Ш. И еще много кого так что если у Вас есть информация бросайте мне на телефон 8 в виде СМС, а там разберемся куда ее подставить! ! !
Администрации на заметку
1 сделать так что б нельзя было использовать одно сочетание букв как логин и пароль! ! !
2 Хранить пароли пользователей ввиде MD5 хеша и сравнивать введеное значение с ним.
3 Зайдите сюда http://phpmyadmin. *****/ вы попадете на главную страницу портала т. к. в phpmyadmin могут входить только доверенные ip.
Эти 3 пункта займут не более 5 часов а безопасность поднимут не слобо.
shy.
|
☰
