Отправлено: 02.11.05 00:09. Заголовок: Как взломали Lito.ru

Как взломали Lito.ru можно прочесть здесь:

click here

Лично мне жутко противно.
Это как кинуть ночью пустую пивную бутылку в припаркованный у подъезда автомобиль... просто так... от дури и безделья...
Противно мне.

Что скажете, други?

 Отправлено: 02.11.05 09:54. Заголовок: Re:

Теперь эта ссылка не работает
мистика

 Отправлено: 02.11.05 10:28. Заголовок: пока работает...

пока работает, решил сюда текст сообщения с того форума перекинуть... хотя никому не надо его стирать оттуда, наверно...
* * *
Автор: ZaCo

Oct 21 2005, 19:51

Взлом LiTO.ru.....или как все было

Эта статья написана новичком для новичков в sql-inj, хотя будет просто интересно почитать историю взлома lito.ru . Перед прочтением советую хоть немного разобраться со структурой баз данных и самой субд MySQL.

Дело было вечером - делать было нечего.
Начало стандартное – не знаю как, попался мне в руки линк ведущий на lito.ru, немного осмотревшись, я обнаружил форум - количество юзеров мне понравилось, что-то около 1500 пользователей.
Сайт был литературной тематики, количество писателей было тоже немало, поэтому я взялся за "взлом", в кавычках, потому что его как такого и не было (потом узнаете почему).
Зайдя на форум, я не узнал его версию, о чём свидетельствовала следующая надпись "Powered by phpBB © 2001, 2005...". Поэтому тупой взлом, через новоиспечённый сплоит я отложил и завернул.
Моя точка зрения такова, что для новичков взлом через сплоиты губителен, так как человек таким образом ничему не учится, много ли мозгов надо что бы подставить в окно консоли или браузера строчку и нажать Enter. И так вернёмся к лито.
Движок был пхп'эшный что меня порадовало - не тусклые хтмл страницы, и вообще много не мало! Больше шанс на уязвимость!
Накатав в строке поиска по сайту "<><>" в ответ пришла страница с внедрённым неотфильтрованным запросом - хсс!
Самое интересное это то, что форум находился по адресу http://lito.ru/forum/ - то есть можно было линк на форуме оставить, а там и куки своровать,
но это я оставил на будущие безнадёжие. А сейчас надо было искать, что-то более серьёзное.
По началу всё было плохо... ни одной зацепочки! Уже собрался бросить это дело, как вдруг - sql-inj, явился не запылился!
Бага выглядела так:
CODEhttp://www.lito.ru/all.php?alex081971'/*
то есть возвращалась инфа о пользователе с именем alex081971, кавычка закрыла текущую строку, а /* закоментили строку запроса.
Впоследствии вылезли и другие бажные скрипты:
CODEhttp://www.lito.ru/photolist.php?fid=61'/*
http://lito.ru/sbornik/420'/*
http://www.lito.ru/all.php?alex081971'/*
как видно я просто не обратил внимания на то, что в базу посылается запрос не с числом, как нам кажется, а со строкой "61" для photolist.php!
Так что отсюда совет - не верь глазам, если как кажется (а когда кажется креститься надо) передаётся число - то это совсем не факт что не может передаваться строка. Выводы делайте сами. Больше я багов не нашёл, точнее не хотел уже искать - на php-inj или инклуд надежды было мало, а sql-inj уже что-то.
Что бы сделать? Предположив, что на сервере стоит MySQL новой версии, я начал эксперементировать с UNION, если не знаешь что это такое почитай доки по синтаксису различных СУБД. И так подставляю в своего осла
CODEhttp://www.lito.ru/all.php?alex081971'+union+select+null/*
- как неудивительно, такой запрос не работает. Я зря надеялся на работающий UNION, так как перебрав около 100 стобцов я решил забить на это дело. Простым запросом -
CODEhttp://www.lito.ru/all.php?'or(id=1)/*
я получил первого "писателя" с логином root, то есть в таблице была колонка id, а позже выяснилось что и name. Тут я вспомнил, что в MySQL 4.1 и выше введена поддержка подзапросов. Однако это не сработало, после долгого перебора имени таблицы с записями юзеров я и на это дело положил. Видимо версия MySQL была старая, но нельзя же останавливаться на полпути!

Вперёд к победе
Продолжая бродить по ссылкам в поисках инклудинга или php-inj, я нашёл незаметную поначалу форму ввода логина и пароля для писателей. Для проверки на уязвимость я зарегистрировал себя на имя ZaCo. На главной странице подставляю в имя юзера - себя родимого, ну и пасс тоже свой, тут вижу пишет мне скрипт - Здравствуйте, Alex Zaharov! Alex Zaharov - имя и фамилия указаные при регистрации. Нажимаю logout и выхожу из сессии. Теперь захожу к себе под логином ZaCo' и рандомным пассом - не пускает! Хм... а если ZaCo'/* - всё равно не идёт. Тут я уже отчаился... Но! Самое интересное - при откатке назад мне пишут - Здравствуйте, Alex Zaharov! Ну что же иньекция проведена удачно дамы и господа! К сожалению управлять своими произведениями я не мог, меня не пускали, но это хоть что-то - сам факт что скрипт меня распознал наводил на мысли. Стало так же ясно, что скрипт проверки пасса был написан очень криво. Что бы лучше понять принцип его работы пришлось включить мозг, взять кусок (нам и куска хватит) бумаги и кусок, хотя нет - лучше целую ручку.

(см. далее)

 Отправлено: 02.11.05 11:23. Заголовок: (продолжение)

(продолжение)

Дальше больше
Подставляем такое значение в поле ввода логина -
ZaCo'and(substring(passwd,1,1)='r')/*, а в пасс любое значение - оно всё равно обрезается. Скрипт вывел - Здравствуйте, Alex Zaharov! так как мой пасс начинался на "r", в тоже время при значении логина - ZaCo'and(substring(passwd,1,1)='q')/* скрипт вернул - Здравствуйте, ! так как условие ложное! Значит я мог перебрать посимвольно пасс root'а! И так подставляю - root'and ascii(lower(substring(passwd,1,1)))>120/*
результат положительный, значит первый символ пароля имеет ASCII больший чем 120. поясню: lower - преобразует символы в нижний регистр('A'->'a'), substring(st,i,count) - выделяет строку из st с позиции i длиной count символов. После 5-7 запросов я получил код первого символа пароля пользователя root. Достав ASCII таблицу, оказалось первая буква в пароле "p", но мы искали код для символа в нижнем регистре, поэтому составил следующий запрос - root'and ascii(substring(passwd,1,1))=80/* он вернул положительный результат, значит первая буква пасса не "p", а "P"! После нескольких таких запросов я получил пасс root'a - "PlqGFk". Первый шаг сделан! Идём дальше.

В админке
Оказавшись в админке я мог расматривать заявления о регистрации на портале lito.ru, мог публиковать/удалять/менять новости, таким образом можно было и дефейс сделать - опубликоать новость типа "HaCkeD bY ZaCo", но после таких долгих операций над lito мне так просто отделоваться не хотелось. Кроме дополнительных sql-inj в админке, которых и так хватает, я ничего не обнаружил. А жаль... Не помню как, но я нашёл ещё одного админа с именем - Алексей Караковский, подобрав так же пароль и к этому админу я оказался в более интересном месте...
А здесь кроме всего прочего я нашёл меню управления статусами пользователей, их пароли и логины, а их было 1824 - неплохо для начала! Забавы ради я поставил себе статус редактора раздела и мог также безнаказанно публиковать и менять новости! Но не тут то было - меня видимо просекли, так как на следующий день мой статус стал "nobody" так сказать. Ну а на послеследующий день я лицезрел на главной странице сайта следующее:

"Леди и джентльмены.
Отражение третьей попытки взлома сайта закончилось неудачно.
Сайт закрыт на неопределённый срок.
Восстановление материалов, опубликованных после 12 сентября 2005 года, вероятнее всего, невозможно.
С прискорбием, главный редактор сайта Алексей Караковский."

P. S. Редакция, несмотря на невзгоды, не сдаётся и предлагает переждать тяжёлое время на форуме "Имён Любви" у Славы Фурты.
"
Алексей Караковский - тот самый админ чей пасс я тоже спёр.
Ну на этом моя история заканчивается! Кстати никакая информация на сайте не была изменена - никакие файлы не были удалены и т.д. и т.п.
И напоследок:
1) Всегда фильтруйте данные! 99% взломов происходит как раз из-за недостаточной фильтрации данных
2) Будте целеустремлённым человеком, настоящие ошибки не подают на блюдечке
3) Не верь глазам
Всё остальное лишь вытекает из предыдущего.
Это не руководство к взлому - это простая история как простой подросток имеющем в распоряжении 2 года общения с компьютером взломал базу паролей портала lito.ru - имеющего отнюдь немалую посещаемость. Так что ошибки есть везде - основная задача администратора хотя бы пытаться их закрыть.

email: zaco@yandex.ru

* * *

 Отправлено: 02.11.05 13:11. Заголовок: Re:

все так просто, а ихние понты по поводу перемен пароля все насмарку. Мне по почте высылали пароль, я по нему не мог войти, а по старому входил как нефиг делать, подумалось еще мне тогда-если бы мне немного побольше знаний, я б что хотел, то и сделал.
Ума-то нет!
Хотя по большому счету сайт был скорее мертв, чем жив.

Там, из местных шишек один путный чел был, да и то под влияние дур всяких попал.

 Отправлено: 02.11.05 13:19. Заголовок: вот-вот

ну что ещё добавить к твоим словам...

пожалуй, я сделал два вывода:
1)(негативный) Алексей Караковский слишком высокого мнения о своей персоне, значимости его проекта и вообще переоценивает свою роль в современной истории ;+()
Никому он, по большому счёту, нафиг не интересен и не вреден, как "вокруг литературно-музыкальный деятель".
Его творческие способности я оценивать не берусь, есть что почитать и послушать у его группы. Человек он одарённый, по моему мнению.

2) (позитивный) Хорошо что я свой сайт сделал абсолютно без наворотов. Мне, конечно, вообще беспокоиться о "взломах" глупо никому это точно не надо
И ещё я свой сайт до последней буковки сам написал и наизусть помню где и что , а не подрядил студента-програмиста за 50 баксов мне нечто из шаблона на PHP слепить.

А всёже жаль мне этого парнишку - взломщика... лучше бы он потратил время на чтение lito.ru, чем на его вскрытие... эх...

 Отправлено: 02.11.05 16:43. Заголовок: Ломки после эйфории

Соглашусь с тобой, Костя, Лёша Караковский - интересный парень, но взял на себя так много (возможно, в силу юношеского максимализма), что, как говорится, ниасилил - и тебе два литературных сайта, и рок-группа, и вэб-разработки на сторону, издательские проекты.... Ну нельзя быть докой во всем. Но, с другой стороны, на ошибках учатся, а кто из нас не ошибался?

Насчет "парнишки" - да не интересно толковому программисту читать умствования "гуманитариев духа" (коими и являются почти все авторы Лито.Ру). Он умеет сайты ломать, вот и оттачивает свое мастерство, ибо за него платят. Просто за взлом сайта МО РФ или ФСБ можно надолго сесть, а за Лито.Ру - нифига ему не будет, мог бы и свой домашний адрес оставить.

 Отправлено: 02.11.05 16:50. Заголовок: может и так

[b]wowa[/b]

Ну Лёша не такой уж и юный... и максимализм иногда уместен.
Учиться на ошибках тоже учиться надо
Ты тоже считаешь что лито.ру помер навсегда и не поднимется?

 Отправлено: 03.11.05 13:15. Заголовок: Лито.Ру

Да нет, думаю, что поднимется...

А Лёша... Ну он на днях заявление в ЗАГС подал, значит молодой еще :) Ты сходи на Имена Любви, там в форуме "Песочница" Караковский прикол выложил :)))

 Отправлено: 03.11.05 13:29. Заголовок: схожу

схожу...
это интересно, или я что-то путаю, или он давно был женат, или раньше это был гражданский брак, или он женится второй раз... но у него точно один ребёнок есть... или я всё-таки что-то путаю, но вроде нет...
В любом случае - совет им да любовь!
Кстати, я с ним один раз лично встречался, пивка пил... ну не тет-а-тет, а в маленькой тусовочке...
может теперь я должен быть гордый?

 Отправлено: 03.11.05 14:33. Заголовок: повод для гордости

У члена общества гениев всегда есть повод для гордости :)

 Отправлено: 03.11.05 14:42. Заголовок: Re:

[b]wowa[/b]

 Отправлено: 03.11.05 15:03. Заголовок: Re:

он-то как раз и адекватный чел, по-моему лито.ру его самого тяготило, в силу воспитанности он не смог осадить свое окружение и взлом является ни чем иным как поводом, для закрытия проекта и переориентацию населения на Имена любви, на которых неистовствует Графоман в кубе Агнесс Форналик.

 Отправлено: 03.11.05 15:22. Заголовок: во как

[b]chingizid[/b]
Эка ты глубоко копнул... может и так, чужая душа потёмки...

 Отправлено: 03.11.05 21:46. Заголовок: Re:

[b]wowa[/b]
прикол про Первак - это вещь!

 Отправлено: 07.11.05 17:38. Заголовок: Re:

chingizid пишет:

цитата

---

Имена любви, на которых неистовствует Графоман в кубе Агнесс Форналик.

---

А что, у девушки есть очень достойные стихи :) Особенно если опустить ее сексуально-суицидную экзальтацию. И еще у нее есть роман, причем довольно забавный, похож не то на Джойса, не то на Павича...

 Отправлено: 07.11.05 23:46. Заголовок: Re:

[b]wowa[/b]
Стоит почитать?

 Отправлено: 08.11.05 17:05. Заголовок: Re:

Константин Шалеев пишет:

цитата

---

Стоит почитать?

---

Попробуй, стихи - на именах лежат в форуме, роман - тут:
Sine Titulo

 Отправлено: 08.11.05 17:11. Заголовок: Re:

стихи читал, немножко... не очень...
а роман - ух... масштабно...
спасибо за ссылку...

 Отправлено: 28.01.06 18:40. Заголовок: Re:

и сколько времени прошло? А Лито так и в зачаточном состоянии?

 Отправлено: 28.01.06 18:41. Заголовок: Re:

ну и кто был прав?))))

 Отправлено: 31.01.06 14:21. Заголовок: действительно...

действительно... и кто был прав?

 Отправлено: 10.11.06 21:12. Заголовок: Re:

Ну что ж, приятно, что Алексей внял голосу разума и разместил свой форум на профессиональном сервисе, на том же что и я свой.

 Отправлено: 10.11.06 22:23. Заголовок: Re:

Ну, если б еще Алексей не был таким крутым и умным, его б не ломали пять раз в год. А зачем взламывают, от не хер делать что ли или это сосед Караковского живущий этажом ниже, которому караковские друзья он струшивают пепел на бельё?

 Отправлено: 10.11.06 22:31. Заголовок: Re:

Если прочитаешь тут выше, то узнаешь, что тот "ломака" понятия не имеет кто такой Алексей, крутой он или глупый, и вообще чё это за байдовый сайт и туфтовый форум.

 Отправлено: 10.11.06 22:45. Заголовок: Re:

Драсти, я Чехова почти не читаю, чего ж я буду про караковские ломки читать, пусть сам читает.

 Отправлено: 10.11.06 23:05. Заголовок: Re:

а и то верно

 Отправлено: 24.12.06 02:29. Заголовок: ­Re:

а откуда вы эту
байку про взлом взяли ?
и где это
было опубликованно ?­

 Отправлено: 24.12.06 15:40. Заголовок: Re:

А что Приват? Приват ничего...
Это не байка, это быль. А где она была опубликована - ссылка в первом посте темы, но она уже не работает.
Так что хотите - верьте, хотите - нет.

 Отправлено: 08.02.07 10:03. Заголовок: Re:

ZaCo зачет, мои аплодисменты парнишке!!!!

 Отправлено: 14.02.07 02:27. Заголовок: Re:

Ибо долбоёб - вот и апплодисменты. Такой шухер навёл - дойчляндия вздрогнула!

 Отправлено: 14.02.07 12:50. Заголовок: Re:

У долбоёба врядли получилось бы. Долбоёб тот кто сайт так сделал криво.

 Отправлено: 14.02.07 21:31. Заголовок: Re:

Долбоёб сайту рознь...

 Отправлено: 04.12.07 20:49. Заголовок: Константин Шалеев п..

Константин Шалеев пишет:

цитата:

© все права принадлежат Константину Шалееву, но абсолютно беззащитны

Да, мы вот тоже свой сайтик сами сварганили, первый раз в жизни. Переделать всё никак времени нет. Мы, правда, не так круты, чтобы нас ломать, да "редисок" всяких много. Ну, думаю, сломают... поплачу, вывешу копию. А Борде БОЛЬШОЙ СПАСИБ, что она есть!

 Отправлено: 04.12.07 22:48. Заголовок: KateMos, на моём сай..

KateMos, на моём сайте ломать нечего.
Борда удобна, конечно, но есть нюансы...
расстроила она меня однажды очень-очень: http://forum.shaleev.ru/?1-2-0-00000012-000-0-0-1179263067

 Отправлено: 06.12.07 22:30. Заголовок: Ну, Константин, "..

Ну, Константин, "Конёному дарю в смотри не зубят!"
Я про это правило знаю. А правила - есть правила. Правда, раньше они были не такие жестокие, можно было раз в месяц заходить. Хотя, Бордовцев, я тоже понимаю, они тоже должны за счёт чего-то жить и оплачивать оборудование. С непосещаемых сервисов вряд ли кто-то будет тыкать по банерам. Всё равно молодцы!

 Отправлено: 12.12.07 22:13. Заголовок: KateMos, ну да - не ..

KateMos, ну да - не нравится - не ешь.