Photosight 0wn3d!

photosight 0wn3d!

[About]

Сайт работает с 1999 года. Показатели пузомерок:

  • Яндекс тИЦ (CY) 3600
  • Google PageRank (PR) 5

За месяц почти 1,5КК посетителей, более 30КК просмотров страниц сайта (по данным Rambler TOP-100).
Чем солиднее ресурс, тем приятней найти на нем какую-либо уязвимость.

[Users]

Еще прошлым летом исследуя фотосайт (далее ФС), была найдена откровенная халатность по отношению к пользователям. Нету никаких ограничений на попытки ввода пароля. Соответственно, брутим как хотим и сколько хотим. Тем же летом при помощи небольшой программки и списка самых распространенных паролей удалось получить более 1К аккаунтов (в том числе и профы, мастера, гуру). Вообще, и пользователи ФС к своим паролям относятся очень небрежно. Вот неполная сотня самых популярных паролей на ФС (первым указано количество повторов):

405 123456
384 test
129 111111
107 qwerty
93 gfhjkm
69 1234567
69 123123
66 7777777
61 666666
54 12345678
54 123456789
51 000000
51 88888888
49 123321
44 555555
42 ghbdtn
40 654321
40 12345z
39 05e5a5e2fd9948bd40f6a773800064f6 (либо нету в паблик сервисах, либо плохо искал)
38 1234567890
37 12345
35 d0cde97c73ef3602b443c6416f9168c8 (либо нету в паблик сервисах, либо плохо искал)
35 password
34 master
33 777777
32 131313
31 df1b4c1f5676f38670272f250a24d20b (либо нету в паблик сервисах, либо плохо искал)
31 26209843af25e2d35e29c0d02803c4b4 (либо нету в паблик сервисах, либо плохо искал)
31 1q2w3e
29 2128506
29 31415926
28 zxcvbn
26 513957c57a47b247aa9bdf60e047af2e (либо нету в паблик сервисах, либо плохо искал)
26 qazwsx
24 123qwe
22 121212
21 freedom
20 48682198b87a6864c82e2d3617ad87a4 (либо нету в паблик сервисах, либо плохо искал)
20 123654
19 159753
19 999999
17 qqqqqq
17 212121
16 911911
16 trustno1
16 forever
15 yfnfif
15 iloveyou
15 333333
15 vfhbyf
15 sobaka
15 789456
14 0000000000
14 begemot
14 ajnjuhfa
14 123
14 privet
13 korova
13 svetlana
13 7654321
13 qwaszx
13 031982
13 polina
13 asdfgh
12 1111111
12 1123581321
12 128500
12 barracuda
12 322530
12 159357
12 55555
12 zaraza
12 1q2w3e4r
12 samsung
11 666999
11 design
11 dragon
11 222222
11 112233
11 silver
11 fuckoff
11 natasha
11 marina
11 stalker
11 matrix
11 nastya
11 753951
10 romashka
10 987654321
10 dfvgbh
10 aaaaaa
10 321321
10 kolobok
10 zxcvbnm
10 q1w2e3
10 verbatim
10 trfnthbyf
10 rfnthbyf

Эта статистика была собрана уже после получения админского доступа на сайт. А тем летом брут осуществлялся по топу популярных паролей Рунета. Получить несколько сотен аккаунтов — это конечно приятно, но не является конечной целью.

[Vuln]

При последующем исследовании на глаза попал форум ФС (явно самописный). Что-то подсказывало, что форум не такой «безгрешный» как кажется. И действительно, берем какую-либо тему и в ссылке на нее правим параметр Number. Для начале просто подставим кавычку. И видим:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/www.photosight.ru/htdocs/pforum/mysql.inc.php on line 75

Вот она — SQL-иньекция. Кажется, что дело за малым — лишь раскрутить ее. Но оказывается, что все не так просто. В процессе разбора оказалось, что это blind sql-inj. Это немного хуже, так как прийдется потратить больше времени. Благо для работы со «слепыми» sql-inj ПО предостаточно. По совету aciD‘a и GIG‘a взял Havij.
Буквально через пару минут программа выдала, что текущему пользоватею доступны 10 БД. Увы, File_priv нашего пользователя установлен N. Ну да ладно.
Интересующая нас БД — это sightforum. Особенно интересна там таблица w3t_Users с полями:

uid U_DisplayName U_Favorites U_StartPage U_ActiveThread U_FrontPage U_Privates U_TimeOffset U_StyleSheet U_TempRead U_Color U_TempPass U_FlatPosts U_Title U_Language U_Groups U_RegIP U_RegEmail U_AcceptPriv U_PicturePosts U_Visible U_PictureView U_Picture U_Preview U_Registered U_Post_Format U_Extra5 U_Extra4 U_Extra3 U_Extra2 U_Extra1 U_TextRows U_TextCols U_Notify U_EReplies U_Number U_PostsPer U_View U_Display U_Sort U_Status U_Bio U_Location U_Hobbies U_Occupation U_Homepage U_Signature U_Laston U_Totalposts U_Name U_Fakeemail U_Email U_Password U_Username

Отсюда и получим логин, пароль админа (uid=1). За расшифровку md5 так же спасибо GIG‘у и его аккаунту на cmd5.ru. Теперь посмотрим на ФС глазами того, у кого больше полномочий, чем у простого пользователя 🙂 На форуме появился скрытый раздел для модераторов и в меню добавился новый пункт «Админ». В этом разделе можно редактировать настройки, фильтры, таблицы стилей и прочее. Но интересует не это. Интересует «Database manager». Тут можно выполнять пользовательские sql-запросы. Какая удача! Теперь не надо возиться со «слепыми» sql-inj.
Посмотрим реальное количество пользователей:

SELECT COUNT(uid) FROM sightforum.w3t_Users

users
Посмотрим популярность паролей:

SELECT COUNT(*) AS C, U_Password FROM sightforum.w3t_Users GROUP BY U_Password ORDER BY C DESC

pass
Более полный ТОП указан вначале.

С этой БД все ясно. А что там еще есть интересного? Есть данные о платежах пользователей, кто сколько и чего заказывал из платных услуг на ФС. А вот есть еще БД, которая называется fotonovosti. Это БД сайта fotonovosti.ru. Тут так же есть на что посмотреть. Еще и phpbb c 19К пользователей.

[Outro]

Вот собственно и все. Разве что еще несколько скриншотов:
MySQL Users
mysql users
Модераторский раздел на форуме
private

[P.S.]

Никаких диструктивных действий на сервере совершено не было. Администрация ФС уже получила письмо с описанием уязвимости.

, , , , ,

Оставить комментарий

Top ↑ | Main page | Back