popis hacku miesto.sk (s1s)

08.07.2001 15:28 | blackhole

vazeni a mili citatelia,o hacku miesto.sk, kedy na sajte cool.miesto.sk ktosi pod pseudonymom\"sadist1k systems\" zverejnil okolo 20.000 hesiel (presnejsie 23072) ste samohli docitat vo viac ci menej vierohodnych periodikach ako novy cas, cdtipalebo boardy hysterky :). mozno prisla spravna chvila, aby sa odhalilitechnicke okolnosti utoku (a mozno nie, mozno by bolo najlepsie sa k tomuvobec nevracat a zabudnut na celu udalost).anyway, na moznost utoku upozornovali adminov rozne fakty. v prvom rade tobol celkom slusny pocet pokusov o hacknutie ich servra uz davno pred utokom zostrany s1s. boli tu vselijake zverejnene bugy na hysterackom boarde (akonapriklad ze sa z jedneho krasneho skriptu na studentske.sk dalo prehanat pocelom disku servra a pod.) na nic vsak hicks a jeho kolegovia nereagovali, aneskor na svoju naivnu pasivitu (alebo pasivnu naivitu?) sami doplatili.kamenom urazu bola, ako inak, velmi popularna stranka www.studentske.sk. jejtvorcovia to asi myslia celkom dobre, no mohli by sa po skole ucit programovatv php, kedze vtedy to vyzeralo tak, ako keby tam tie diery nechavali naschval(napriklad skolacka chyba - uplna dovera klientovi a ziadna kontrolaparametrov.. vdaka tomu sa dal zobrazit obsah napriklad [shadownuteho]/etc/passwdu).ale spat k hacku. podstatnym bodom bola moznost uploadu na serverstudentske.sk. webmaster sajty vsak zrejme (ako inak) neratal s tym, ze nejakynahodny okoloiduci by sa mohol pokusit uploadnut php skript a potom hospustit.uploadnute subory sa ukladali do adresara s priznacnym menom \"upload\". celyutok by asi nebol uspesny, ak by neboli uploadnute subory bezprostredne popreneseni pristupne. takto stacilo uploadnut skriptik sh.php3, ktory fungovalako taky maly shell (jednoduchy formular s textovym polom, do ktoreho sazadavali prikazy). utoku mohol zabranit aj nastaveny safe_mode, ale co z toho,ked sa sami administratori pysia tym, ze na serveri pre \"lepsie projekty\"(teda kalliope.miesto.com) safe mode nie je zavedeny a teda tam funguju ajfunkcie ako system() a pod.po chvile hladania prikazom locate sa nasiel wget, pomocou ktoreho sa stiahlinejake potrebne utilitky - dva exploity (vtedy este nikto netusil, ze kalliopebezi na freebsd, hento boli exploity na RH linux) a jednoduchy backdoor zhysterackeho arxivu.potom uz nebolo potrebne pouzivat ten \"webshell\", zmazali sa stopy, pustil sabackdoor a hop, mame privilegia usera nobody.po chvilke snorenia v /tmp a /var/tmp a ukazovali prve naznaky uspechu. vo/var/tmp boli nejake dumpy z sql databaz (doteraz nikto netusi, ako sa tamocitli). ake bolo vsak prekvapenie celeho publika, ked sa zistilo, ze adresar/root je volne pristupny a kazdy si v nom moze behat. dokonca sa admin unuvaldat don aj subor \"!\" (takze bol na zaciatku vypisu ls), ktory obsahovalvystrahu (tu ste si mohli precitat na cool.miesto.sk, pohladajte si mirror naagent.sk).ake bolo prekvapenie okolostojacich, ked sa ukazalo, ze nas mily mr. root ma useba aj podivuhodny subor dump.tar.gz. po rychlom prebehnuti fajlu cez \"tartvf dump.tar.gz\" bolo aj malemu jankovi jasne, ze su to dumpy z SQL databaz.(mimochodom, malo to viac ako 9 MB).po stiahnuti a zbeznej analyze suboru (analyza typu \"bajocko\") bolo trebanapisat perlive skripty na rozparsovanie suboru do nejakeho krajsieho formatu,teda \"user:pass:meno:priezvisko\". no a potom hop s tym na web.bohuzial, behom jedneho dna to bolo zmazane, a tak kto to nestihol, musi sauspokojit s mirrorom na agent.sk (pripadne inde, asi to bude vselikde).uctiva poklona,s1ss1s