Кисуля: Да, ты слюнчик!
Зайка: Уйди от меня придурок.
SEXY_BOY: А не пойти бы тебе!
(c) kolobok.ru
Вот такие диалоги постоянно я видел на kolobok.ru. Ой, как мне это надоело, не представляете. Хотел было уже уйти навсегда, как тут один идиот что-то сказал про моего деда. Тут я не
сдержался и написал скрипт. Задача его было одна - нафлудить. Но, повозившись с ним, я понял: всё это фигня, надо копать глубже. Как вы все знаете, чаты являются обычнами CGI'ками. И, я думаю, что вам также известно, что у CGI скриптов полно дырок. Этим я и решил воспользоваться.
Как правило, папка CGI-BIN не дозволяет просмотра её содержимого (403 virtual directory listing denied). Как быть? для этого и был выпущен VoidEYE Scanner 2000 0.4b4 - удобное средство нахождения стандартных скриптов из списка. Вы можете задавать список серверов на сканирование, редактировать список путей для поиска и даже подключаться к сканируемым серверам через прокси - из соображений безопасности.
Главное окно сканера. Кнопка scan запускает процесс сканирования, кнопка stop - соответственно, останавливает, кнопка settings позвлоляет редактировать/просматривать список скриптов, кнопка scan list - настройки списка серверов / диапазона IP к сканированию.
В установках вы можете видеть флажки "Use Anti-IDS tactics". Это позволяет обходить стандартные системы обнаружения атак. К примеру, большинство современных серверов воспринимают URL, где символы заменены соответствующими им hex-кодами, т.е. запросы /cgi-bin/phf и /%63%67%69%2D%62%69%6E/%2F%70%68 - одно и тоже, но никак не с точки зрения IDS. Так же можно попробовать заменять / на /./ - что одно и тоже, либо же вызывать скрипты с каким-либо (любым) параметром.
В состав архива входят файлы:
Voideye.exe - сам сканер, для Win32, написан на Borland Delphi, скомпилирован со всеми необходимыми библиотеками;
readme.txt - некое руководство;
readme_skinner.txt - рукооводство по тому, как самому сделать графический интерфейс (скин) к Voideye;
exp.dat - список стандартных скриптов. Чтобы добавить собственный експлоит, откройте файл в любом текстовом редакторе и добавьте туда строку вида /cgi-bin/myhole.pl;A new hole from bugtraq;By me;
/skins/ - папка с интерфейсами (skinами) для voidEYE.
Поработав с этим сканером, в итоге я нашёл около 20 дырявых скриптов. И легко ими воспользовался.
Известно, что многие владельцы веб-серверов пользуются стандартными скриптами CGI (common gateway interface), какие поставляет, например, Matt Wright (его wwwboard.pl является, по-моему, самым
распространённым скриптом на сегодняшний день ). Либо такие скрипты входят в комплект дистрибутива сервера, как, например, скрипт upload.pl входит в состав сервера Sambar. И уже почти ни для кого не секрет, что данные скрипты являются одним из тех мест, через которые либо кардер в поисках кредиток, либо чел, возомнивший себя c00l h4x0r0m могут получить доступ к файлам, права пользователя или и то и другое на удалённой машине.
Методы получения неавторизованного доступа через стандартные CGI можно
подразделить на следующие большие группы:
1. Overflow. Скрипту передаётся заведомо большой запрос, что приводит к некорректной его обработке, и как следствие скрипт может не выполнить проверки на, скажем, передачу управления, либо совершить непредусмотренные разработчиком действия. К скриптам такого рода относится, например, args.bat, прилагающийся к Website 1.x. Overflow-атака позволила в своё время взломать сервер ID Software.
2. Доски/конференции. В настоящее время есть много скриптов, пишущих данные, переданные им, на Web-страницы. К ним относятся, например, все чаты, доски объявлений и гостевые книги. Если скрипт не выполняет проверки входных данных на тэги, это так же может привести к нежелательным результатам. Например следующий javаsсript в гостевой книге заставит всех, кто посмотрит её, закрывать браузеры по kill process ;-)
{ while ( true ) window.alert(\\'Game over, man\\'); }
Или же, если сервер поддерживает SSI, запись подобной строги в книгу без проверки на тэги покажет всем кто смотрит её passwd.
3.В сякие mailer'a и прочее. Путём передачи управления, скажем, тому же sendmail'y реально получить по почте ;-) любой файл, на доступ к которому есть права у httpd.
Вот и всё о CGI-дырках. В следующей статье мы говорим о том, как ими воспользоваться...