ÂÇËÎÌ ÂÇËÎÌ ÑÖÅÍÀ ///// ISSUE
TEXT MIFRILL / mifrill@riddick.ru /
ÍÎÂÎÃÎÄÍÈÉ ÄÀÌÏ ÓÊÐÒÅËÅÊÎÌÀ ÏÅÐÂÛÅ ØÀÃÈ Âñå, ÷òî ìíå íóæíî áûëî îò ñåðâåðà www.ukrtelecom.ua, — ýòî íå ñëàâà íåèçâåñòíîãî õàêåðà, íå äåôåéñ ïîñåùàåìîãî ñàéòà è äàæå íå âîçìîæíîñòü çàòðîÿíèòü ïàðó òûñÿ÷ ïîñåòèòåëåé. Âñå, ÷òî ìíå áûëî íóæíî, — áàçà äàííûõ ñî âñåìè ïàññàìè è êàðòàìè îïëàòû. Ïåðåä òåì êàê ïðèñòóïèòü ê àêòèâíûì äåéñòâèÿì, ÿ ñòóêíóë ê îäíîìó çíàêîìîìó, êîòîðûé òîðãîâàë ïðîêñÿìè, è ïîïðîñèë ó íåãî äîñòóï ê ñåðâèñó. Íàöåïèâ íîñîê íà áðàóçåð, ÿ íàáðàë â àäðåñíîé ñòðîêå www.ukrtelecom.ua è íà÷àë òåñòèòü ñàéò íà áàãè. Ïåðâîå, ÷òî áðîñèëîñü ìíå â ãëàçà, — ññûëêà âèäà www.ukrtelecom.ua/ua/hot_news/?id=673. Äóìàþ, òû ïîíèìàåøü, ïî êàêîé ïðè÷èíå ýòîò ëèíê ïðèâëåê ìîé âçãëÿä :). Îäíàêî ïðîãðàììèñòû íå áûëè ñîâñåì óæ êëèíè÷åñêèìè äåáèëàìè, çíà÷åíèå ýòîé ïåðåìåííîé íîðìàëüíî îáðàáàòûâàëîñü, è ïðîâåñòè ýëåìåíòàðíóþ SQL-injection àòàêó ó ìåíÿ íå ïîëó÷èëîñü. Äàëåå ìîé âçãëÿä ïðèâëåê ôîðóì www.ukrtelecom.ua/ua/ offers/forum. Ê ñîæàëåíèþ, àäìèíèñòðàòîðû Óêðòåëåêîìà íå îñîáåííî æàëîâàëè áåñïëàòíûå ïðîåêòû âðîäå IPB, phpBB èëè Vbulletin, ïîýòîìó íå ñòàëè óñòàíàâëèâàòü ýòè ñîìíèòåëüíûå áîðäû, à ñîçäàëè ÷òî-òî ñàìîïèñíîå. Èíòåðåñíî, ÷òî ó íèõ èç ýòîãî ïîëó÷èëîñü. Ñåé÷àñ çàöåíèì. ÀÊÒÈÂÍÎÅ ÎÁÙÅÍÈÅ ÍÀ ÔÎÐÓÌÅ Ïåðåìåùàÿñü ïî ñòðàíèöàì ôîðóìà, ÿ èñêàë ññûëêè ñïåöèàëüíîãî âèäà. Äîâîëüíî áûñòðî ÿ íàùóïàë ñòðàíèöó ñ àäðåñîì www.ukrtelecom.ua/ua/offers/forum/list.php?f=7. ×åðåç äâå ñåêóíäû ñòàëî ÿñíî, ÷òî ÿ ïîïàë ïðÿìî â òî÷êó: ñêðèïò áûë óÿçâèì. Ïîñòàâèâ ïîñëå ñåìåðêè êàâû÷êó, ÿ óâèäåë çíàêîìóþ óæå âñåì îøèáêó:
ÍÀ ÓÊÐÀÈÍÅ, ÊÀÊ È Â ÁÎËÜØÈÍÑÒÂÅ ÑÒÐÀÍ ÁÛÂØÅ“ ÃÎ ÑÑÑÐ, ÑËÎÆÈËÀÑÜ ÍÅÇÄÎÐÎÂÀß ÑÈÒÓÀÖÈß Ñ ÈÍÒÅÐÍÅÒ-ÒÐÀÔÈÊÎÌ. ÊÀ×ÅÑÒÂÎ ÑÂßÇÈ ÏÐÎÑÒÎ ÎÒÂÐÀÒÈÒÅËÜÍÎÅ, À ÇÀ ÝÒÈ ÓÑËÓÃÈ Ñ ÍÅÁÎÃÀÒÛÕ ÓÊÐÀÈÍÖÅ ÒÐÅÁÓÞÒ ÄÎÂÎËÜÍÎ ÂÅÑÎÌÛÅ ÑÓÌÌÛ ÇÀ ÏÎËÜÇÎÂÀÍÈÅ ÑÅÒÜÞ. Ê ÍÀÌ ÎÁÐÀÒÈËÑß ×ÓÂÀÊ, ÊÎÒÎÐÎÃÎ ÑËÎÆÈÂØÀßÑß ÑÈÒÓÀÖÈß ÀÁÑÎËÞÒÍÎ ÍÅ ÓÑÒÐÀÈÂÀËÀ. ÍÅ ÄÎËÃÎ ÄÓÌÀß, ÎÍ ÏÎËÎÌÀË ÑÅÐÂÅÐ ÊÐÓÏÍÅÉØÅÃÎ ÓÊÐÀÈÍÑÊÎÃÎ ÎÏÅÐÀÒÎÐÀ ÑÂßÇÈ È ÏÎËÓ×ÈË
”
ÎÃÐÎÌÍÛÉ ÄÀÌÏ Ñ ÏÎËÅÇÍÎÉ ÈÍÔÎÐÌÀÖÈÅÉ Åäèíñòâåííîå, ÷òî ñðàçó áðîñèëîñü â ãëàçà, — íà ñåðâåðå èñïîëüçîâàëàñü áàçà äàííûõ PostgreSQL, à íå ïîïñîâûé MySQL. Íî íàì ýòî ñîâåðøåííî íå âàæíî ñåé÷àñ. Ñóòü çàêëþ÷àåòñÿ â òîì, ÷òî õîòü áàã ÿ è íàøåë, íî èñïîëüçîâàòü åãî ó ìåíÿ íå ïîëó÷èëîñü. Âêëþ÷åííàÿ îïöèÿ magic_quotes èñêëþ÷àëà ïîäñòàíîâêó êàâû÷åê, à ýêñïåðèìåíòû ñ unionîáúåäèíåíèÿìè íè ê ÷åìó õîðîøåìó íå ïðèâîäèëè (íà ñàìîì äåëå, òàêàÿ ñèòóàöèÿ âîçíèêàåò äîâîëüíî ÷àñòî; ñêîðî â Õàêåðå òû óâèäèøü ñòàòüþ î ñàìîì ðàöèîíàëüíîì è ýêñòðåìàëüíîì èñïîëüçîâàíèè sql-injection. — Ïðèì. Íèêèòîñà). Ïîñëå íåóäà÷è ñ SQL-áàãîì ÿ ðåøèë çàþçàòü îáû÷íûé CGI-ñêàíåð íà perl’e, êîòîðûé ÿ çàïóñòèë íà çàáóãîðíîì øåëëå â Àâñòðàëèè.
Warning: pg_exec(): Query failed: ERROR: parser: parse error at or near «\’» at character 50 in ÀÍÀÒÎÌÈß ÑÅÐÂÅÐÀ /usr/local/www/data/ua/offers/forum/lib/sql.in Ñêàíåð ïîñëå ìèíóòû ðàçäóìèé âûäàë ìíå c on line 13 ñëåäóþùèé ñïèñîê èíòåðåñíûõ àäðåñîâ: 060
http://site/robots.txt http://site/htaccess http://site/scripts/ http://site/test/ http://site/img/ http://site/logs/ Ïåðâûé æå ôàéë ìåíÿ î÷åíü îáðàäîâàë. Êàê òû çíàåøü, â ôàéëå ñ òàêèì íàçâàíèåì íàõîäèòñÿ èíôîðìàöèÿ äëÿ ðîáîòîâ ïîèñêîâûõ ìàøèí, òî åñòü èíôîðìàöèÿ î òîì, êàêèå êàòàëîãè èíäåêñèðîâàòü ìîæíî, à êàêèå — íåëüçÿ. Ýòî ñäåëàíî ñïåöèàëüíî äëÿ òîãî, ÷òîáû óáåðå÷ü èíäåêñèðóåìûå ðåñóðñû îò ïóáëèêàöèè çàðûòûõ ñâåäåíèé, êîòîðûå íå ïðåäíàçíà÷åíû äëÿ âñåãî Èíòåðíåòà. Ñîäåðæèìîå ôàéëà òû ìîæåøü íàáëþäàòü íà ñêðèíå. Ìîãó ñêàçàòü, ÷òî èíôîðìàöèÿ èç íåãî çäîðîâî ïîìîãëà ìíå. ×òîáû òåáå áûëî ïðîùå îðèåíòèðîâàòüñÿ, ïðèâåäó çäåñü êóñîê ýòîãî ôàéëà:
XÀÊÅÐ 02 /86/ 06