Сказ о том как я провел свой хакатон или два «сломанных» хостинга за одну ночь: часть первая Locum.
Прошло уже более полугода, а я только сейчас решил об этом написать.
Дело было вечером, делать было нечего. Так наверно можно начать большинство рассказов про исследование уязвимостей различных сервисов и софта.
Итак, произошло это в ночь на 24 мая этого(2014) года. Уже не помню что меня натолкнуло на мысль полазать по хостингу, и как я на него попал. Если не ошибаюсь, то на этом хостинге был сайт клиента, поэтому я там и оказался.
Все началось с обычного «полазать по папкам», в которых, к сожалению, ничего найдено не было, проколоться на моменте отделения пользователей друг от друга для виртуального хостинга было бы слишком просто.
Далее в силу вступил гугл, который радостно выдалл php шеллы на любой вкус.
Самыми действенными оказались всеми любимые r57 и c99.
Почему два сразу? Для полного погружения в дебри хостинга одного оказалось недостаточно, потому что принципы работы и поиск путей в файловой системе видимо отличались, в итоге там, где не мог пролезть c99, на помощь приходил r57, который без особых трудностей позволял гулять по бОльшему количеству папок.
При помощи 57го я выбрался за пределы дозволенного и, естественно, увидел обычную структуру папок в стиле *nix: bin, boot, dev, etc ну и т.д.
Как ни странно, беглый поиск интересных папок и файлов не увенчался успехом, почти везде был закрыт доступ, а где открыт — было скучно и нечего делать.
Но, оказалось, не всё так плохо. Нашелся один интересный файл в папке /etc/название_софта/, к сожалению, название забыл (это была папка нофигов для фтп сервера). Как и все остальные конфиги доступа на чтение не было, но рядом оказался очень интересный файл к очень вкусным правам, если быть точнее его можно было открыть.
И этим файлом был Альберт Эйнштейн тот же конфиг что и закрытый для доступа. Файл был сделан в качестве бекапа и благополучно забыт. К моему счастью, в нем оказались вполне рабочие данные для доступа к mysql базе.
Но тут меня поджидал очередной подводный камень на пути к успеху. Адрес mysql сервера не был публичным, а точнее он вообще не был айпи адресом, это был локальный адрес, не помню точно, но что-то вроде mysqlN.local. Тут-то было я и расстроился, пока в голову не пришла гениальная идея.
Я снова отправился в гугл и скачал мой в последнее время самый любимый mysql клиент — phpminiadmin. Быстренько закинув его на сервер, я вбил свой тестовый домен хостинга в адресную строку и все опять пошло как по маслу.
После удачного входа в базу я обнаружил там несколько таблиц с настройками фтп сервера, а так же таблицу, думаю, вы уже догадались с чем — логины и пароли пользователей хостинга.
Их было немного — несколько сотен, если мне не изменяет память. В тот момент я был уже в угаре и просто стал проверять все подряд.
И снова меня ждал крах. Данные были не актуальны. Большая часть оказалась устаревшей либо удаленной. Но все-таки я смог найти несколько рабочих фтп аккаунтов, некоторые из которых даже содержали более менее адекватные сайты.
Конечно же я как честный человек написал в поддержку, ответ последовал на следующий день.
Здравствуйте. Спасибо за ваше замечание. Пароли изменены.
Назвали это замечанием… Проблема «исправлена» и… всё. Никакого спасибо в виде награды даже не было предложено. Обидно в общем стало, поэтому пришлось поставить на один сайт код sape, который стоит там и по сей день, отрабатывает bug bounty вместо владельцев хостинга.