Тупость
Самый тупой глюк, известный мне (впрочем, как и большинству кул-хацкеров) - глюк с точками в пути к файлу. Иными словами, введя в браузере строку типа http://урл.сайта.жертвы/....../, мы видим листинг папки "/....../", то бишь корневого каталога на сайте-жертве. Этой ошибке подвержено только несколько серверов, например, MS FrontPage или ICQ Homepage и Personal Web Server под MustDie95. Чуть более сложный пример - скрипт "hello.bat" на Windows Sambar. Данный экземпляр не проверяет запрос на наличие символов ">" и "<", перенаправляющих вывод. Таким образом, мы можем заставить его вести запись в любой файл на диске жертвы. Пример простейшего deface'а (взлома сайта со сменой его внешнего вида) - запрос "http://урл.жертвы/cgi-bin/hello.bat?>../index.htm", если путь к скрипту и к "index.htm" правилен, закончится тем, что сайт будет принимать своих гостей надписью "hello world" на чистом фоне. (Каждый, осуществивший это, может считать себя мега-пупер-хакером!). Другой вариант deface'а делается при помощи скрипта domcfg.nsf. Перед атакой нужно создать deface'нутую страницу, которая потом станет лицом сервера (далее ее адрес назовем урл.дефэйс). Затем на атакуемом сервере необходимо запустить следующее: "http://урл.жертвы/domcfg.nsf/URLRedirect/?OpenForm". Если все пройдет успешно, то тебе предложат вопрос о редиректе сервера. Нужно ввести IP сервера для редиректа (урл.жертвы) и назначение редиректа (урл.дефэйс). После рестарта сервера он будет показывать не истинное "лицо", а то, что нарисовал ты. Кстати, подобному глюку подвержены и следующие сервисы: names.nsf, catalog.nsf, log.nsf, domlog.nsf. Надеюсь, ты сможешь подставить имена этих файлов вместо domcfg.msf? :)
Влом делать.
Но на самом деле не так все просто. Не все админы такие пни, как описано выше: есть и те, которые следят за системой (черт!). Но все-таки они тоже люди (в это сложно поверить, но это так) и не могут уследить за всем. Так что смотри почаще новости хацкеркого мира и применяй их по назначению. А я пока приведу чуть более сложные и хитрые приемы борьбы с создателями серверов.
Все знают FrontPage и тащатся от каунтеров, поставляемых вместе с ним. Но далеко не все знают, что хотя бы один такой счетчик на хотя бы одной странице сайта может "подвесить" весь сервер! Пристальное разглядывание строки браузера при вызове каунтера показывает, что формат параметров скрипта таков: "http://урл.жертвы/scripts/fpcount.exe?Page=cтраница.htm|Image=3|Digits=6". Типа, смотрим последнее слово и видим Digits=6. Это разрядность счетчика, то есть количество показываемых цифр. Идея! Попробуем 100000 цифр! 200000 цифр! 500000 цифр! Счетчик при этом зависнет, и на сервере автоматом запустится дебаггер (отладчик). Жмем еще раз - еще отладчик. И так до потери памяти. Оперативной. Что бы сказал твой Пень III, запусти ты на нем 50 сессий SoftIce'а? Для ленивых - набираете строку "http://урл.жертвы/scripts/fpcount.exe?Page=страница.htm|Image=3|Digits=666666", при необходимости повторить (раз 20, не меньше, хотя зависит от серверной тачки). Если и этого мало, предлагаю настоящий k3wl ВЗЛОМ. Но все же FrontPage можно было бы использовать (просто не поставив счетчик), если бы не еще одна огромная дыра. Папка "_vti_pvt" может предоставить полный перечень средств управления серваком. Сделано это было для упрощения работы администраторов, поэтому каждый грамотный человек может этим воспользоваться. Например, файл haccess.ctl предоставит данные о нахождении жизненно важной информации. Нужно только отыскать в нем похожие строчки:
AuthUserFile c:/frontpage\ webs/content/_vti_pvt/service.pwd
AuthGroupFile c:/frontpage\ webs/content/_vti_pvt/service.grp
Таким образом, большая часть работы по взлому сразу снимается, так как полный адрес файла, содержащего пароли, уже известен (если же под атакой - сервер Netscape, то пароли хранятся в файлах administrators.pwd, authors.pwd и users.pwd). Осталось всего ничего - добыть их. Для этого создателями припасен поисковый сервис (а нам-то и нужно пароли найти). ;) Обычно он находится в "http://урл.жертвы/samples/search/queryhit.htm". Теперь внимание: начинаем поиск "#filename=*.pwd". Самое смешное, что поиск действительно находит эти файлы. Здесь все дело в том, что FrontPage вообще устроен крайне тупо. Он обычно делает резервную копию всех редактируемых файлов и хранит их в "_vti_cnf". В этой папке можно найти и *.pwd файлы. Открыв любой из них, мы увидим что-то типа: "User:FHGEWR79xw2". Угадайте, что это? Пароли в самом обыкновенном DES'е, так что ваши брутфорсы не останутся без работы.
Плохо понял.
Однако не только FrontPage оказался подвержен ошибкам. Были найдены глюки и в Netware 4.11 Server. Скрипт files.pl (как видно, написанный на Perl), предназначенный для просмотра HTML-файлов, на самом деле не проверял, действительно ли это HTML-файл. Это дало возможность чтения ЛЮБЫХ файлов на диске сервера-жертвы. Использование этой ошибки чрезвычайно просто: "http://урл.жертвы/perl/files.pl?file=sys:system/autoexec.lcf" или аналогичный запрос покажет важные файлы с диска атакуемого сервака.
Или еще: скрипт ShowCode оказался подвержен багу, открывшему эту статью, то есть указав путь "/../../файл", мы получим доступ минуя все преграды. Однако просто задействовав его, мы бы ничего не увидим. То есть тривиальная подстановка типа "http://урл.жертвы/msadc/Samples/SELECTOR/showcode.html?source=/.../..../файл" ничего не даст, так как скрипт ожидает, что файл находится в /msadc/samples. Но пройти сквозь эту "заshitу" не представляет труда: если скрипт проверяет, там ли файл, заставим его поверить в это. Короче: http://урл.жертвы/msadc/Samples/SELECTOR/showcode.html?source=/msadc/samples/.../.../файл, и мы добиваемся успеха. Эта ошибка, или как ее называют "dot bug", несмотря на ее всенародную известность и древность, повторяется все в новых и новых скриптах, чем не могут не воспользоваться хацкеры. Еще один пример - скрипт faxsurvey (я имею в виду непропатченную версию) имеет одну... эээ... очень интересную особенность - выполнять строку, данную ему в качестве параметров. Это дает возможность выполнения любых команд от лица сервера, то есть с привилегиями http демона сервера. Образец строки - "http://урл.жертвы/cgi-bin/faxsurvey?/bin/cat%20etc/passwd". Ни за что не догадаешься, что ты увидишь там ;). Впрочем, вместо cat etc/passwd можно поместить что-нибудь другое. Следующий скрипт предоставляет безграничные возможности управления, так как позволяет исполнять на сервере-жертве команды как из своего шелла. Таким образом, злобный кул-хацкер может делать с удаленной машиной все что угодно. Да и использовать эту дыру просто: "http://урл.жертвы/AdvWorks/equipment/catalog_type.html?ProductType=|shell("cmd+/c+dir+c:\")|" (все это пишется в одну строку) - содержимое диска c:\ жертвы.
Еще раз скажу тебе, что здесь приведены самые банальные и широко известные дыры, поэтому не надейся, что так ты взломаешь whitehouse.org, NASA или Пентагон. Но все-таки, по причинам, описанным выше, находятся серваки, до сих пор не защищенные даже от этого. А в арсенале настоящего хакера имеются десятки, а иногда и сотни багов, которые он применяет по назначению. Сейчас я не буду утомлять тебя такими способами, ведь описание только одного заняло бы четверть X. Да и зачем подвергать тебя опасности: меньше знаешь - крепче спишь ;))?
ВЫВАД:
Дыр в последнее время становиться все больше и больше, поэтому невозможно описать все в одной маленькой статье. Поэтому (до выхода следующей статьи) попытайся добиться чего-то сам, но учти, что методы, описанные здесь, могут причинить множество неприятностей, в том числе и тебе. Так что подумай получше, прежде чем использовать их на практике. «Да, все это круто, - скажешь ты, - но как, Гей-Тс тебя подери, определить уязвимость сервера к атакам через CGI?» И я отвечу тебе - работай головой. Стой! Не бей лбом свой Sony 17"!!! Для работы головой есть кул прога VoidEye2k (ранняя версия называлась просто VoidEye), которую за тебя сделали хорошие люди из {team void}. Это есть сканер сервера на предмет наличия на нем соответствующего скрипта. Короче, прога сканит сервак: есть там скрипт или как? У последних версий проги появилась поддержка скинов, дополнительные фичи и все такое. Скачай ее обязательно! Место обитания: www.void.ru.
Вот так поюзаешь сканерок, свежих/собственных эксплойтов добавишь...
