M
MrFear41
Как хакеры взламывали банки в 2006-2009 годах.
Любой хакер ищет легкие пути для взлома! А что если этот путь не найден и ты так заморочился взломом, что хочется на все просто забить? Сегодня, пользователи DW, Belka расскажет вам о взломе, который раньше использовали хакеры и, может быть, эта история натолкнет вас на мысли о том, что нужно всегда идти до конца. А когда сделал дело - тогда и гуляй смело, как говорится!
Ищем баги:
Зарядив в браузер свежий прокс, первым делом бросаем в бой старичка nmapa. Примерно после 10 минут сканер выдаёт нам следующее:
Код:
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports ****************):
(The 65432 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
80/tcp open http
3128/tcp open squid-http
Remote operating system guess: FreeBSD 5.*
Как мы видим, фаерволом тут и не пахло, но несмотря на это, сплоиты к бажным сервисам
тоже найти не представлялось возможным. Но то, что был открыт 80 порт нас радует. Потому что, при желании, можно было найти баг через веб.
SQL:
Быстренько набрав в браузере адрес, принимаемся изучать сайт. Все построено на PHP. Что, если честно, радует. Везде мелькали скрипты типа www.bank.ru/index.php?go=33. Поставив в конец кавычку (‘) получаем инъекцию:
Код:
Warning: mysq_array(): supplied argument is not a valid MySQL result resource
in /usr/local/apache/htdocs/index.php on line 14.
Все попытки вытащить, классическим приемом пароль какого-нибудь пользователя не увенчается успехом, а именно: SELECT * FROM admins WHERE login="$login" AND
password=MD5("$password"). Подбирать названия таблиц - нам лень. Ведь, ИМХО, обломно сидеть и наугад долбить по клаве. Но тут есть один скрипт, который может автоматизировать SQL-инъекцию.
Ищем баг через гугл:
Открыв гугл, набираем следующую команду: site:bank.com filetipe
hp
И получаем ссылки которые мы не нашли на сайте. Это был Invision Power Board 2.0.3. Но там было зарегано всего около 10 человек! Это - работники банка и прямо там они обменивались информацией. Можно написать сплоит - 1dt.w0lf из команды RST. Работа сплоита заключается в SQL инъекции, которая позволяет получить пароль админа. Скачав нужный сплоит, запускаем его. И тут, вместо MD5 хеша, получаем звездочки. Открываем файл блокнотом и обнаруживаем, что сплоит необходимо пропатчить. Найдя, где стоит внести изменения, компилируем сплоит заново и получаем нужный нам MD5.
Взлом MD5 с помощью брута:
После этого, мы запускаем MD5Inside, выбираем функцию "Брут по словарю". Результат не заставил долго себя ждать. Теперь озадачимся следующим вопросом - что делать дальше? Заливать ли на сайт shell или приконектится к 22 порту сервера и попробовать его там. Но лучше запустить putty.
Пароль в наших руках:
Теперь мы - admin в системе, с группой wheel. Команда «ps ax» показала, что запущен процесс самбы. И что интересно - smbd был запущен в качестве Primary Domain Controller. Причем самба обслуживала домен "SECURE". Но как нам завладеть системой?
Почитаем логи и увидим, что пользователь часто заходит под рутом. А что если пароль подойдет и на рут? И вуаля, наш юид = 0.
Но не всё так просто:
Выполняем команду: mysql -uuser -ppass -e "show databases. База, которая нам так нужна - её нету! НО! Ведь админ, который ставит на всё одни пароли – не такой-уж и дурак, чтобы хранить супер ценную DB на сервере банка.
Далее:
Выполняем команду: nmblookup SECURE – и обнаруживаем около 10 включенных
компов. Единственным способом проникновения на эти самые машины являлся
терминальный сервер. Чтобы его поднять, нужен 3389 порт. Выполняем команду: which nmap и получаем одобрительный ответ. А дальше сканирование – дело техники. Также, можно добавить флаг –O, чтобы определил версии OS. Как ни странно, везде стояли Win XP, а у одного стояла WIN 7 и сервер (К примеру нам повезло – там был открыт 3389 порт)! Теперь нам нужен был логин и пароль какого-нибудь привелегилерованного пользователя. Можно
было конечно создать своего - что мы и сделали.(действуем очень беспалевно!) Все было сделано командой smbpasswd – C://‘ваше_имя’. А потом добавляем на своего пользователя права на администратора.
Ищем клиент для терминального сервера:
Следующая наша проблема состоит в том, что нужно найти терминальный клиент. Идём в гугл. На левый запрос было очень много фиговых ссылок. И тут мой взор упал – на надпись, что у Win 7 serv есть свой дефолтный терминальный клиент. Принимаемся разгребать информацию о нем.
Пот и слёзы:
Долго ли, коротко ли, но настраиваем терминал. Squid-proxy, на них ставим allow на наш ip. Потом следует HTTPort. Последние штрихи - вносим в свойства подключения адрес 127.0.0.1.
И вот она наша удача, после долгих мучений, мы увидели перед собой окно ввода логина и пароля. Без затруднения мы набрали свой логин и пароль, которые создали ранее. И вошли в систему!
Ищем базы и сливаем:
Трудно не заметить MSSQL-сервер. Зайдя в директорию MSSQL видим порядочное количество различных баз, а среди них нужная нам – clientele (к примеру). Чтобы не ошибаться, архивируем еще несколько увесистых баз и с помощью Total Comander, входим на наш сервер и начинаем заливать базу. Очень хорошо, если у банка хороший канал и примерно через 40-50 минут мы получаем увесистый архив с нужными нам базами.
Чистим логи:
Для начала уничтожаем полностью всё в файле wcx_ftp.ini – там наше подключение к ftp. Потом, используем clearel (консольная утилита для чистки логов). После чего мы выходим из системы. Для того, чтобы не спалиться на сервере, мы вообще сносим все логи к чертовой матери.
Итог:
Получаем дохера бачей на свои левые счета
P.S.: Конечно же эта статья для ознакомления!
P.S.S: Всё написано вручную. Немного инфы брал с других сайтов.
Любой хакер ищет легкие пути для взлома! А что если этот путь не найден и ты так заморочился взломом, что хочется на все просто забить? Сегодня, пользователи DW, Belka расскажет вам о взломе, который раньше использовали хакеры и, может быть, эта история натолкнет вас на мысли о том, что нужно всегда идти до конца. А когда сделал дело - тогда и гуляй смело, как говорится!
Ищем баги:
Зарядив в браузер свежий прокс, первым делом бросаем в бой старичка nmapa. Примерно после 10 минут сканер выдаёт нам следующее:
Код:
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports ****************):
(The 65432 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
80/tcp open http
3128/tcp open squid-http
Remote operating system guess: FreeBSD 5.*
Как мы видим, фаерволом тут и не пахло, но несмотря на это, сплоиты к бажным сервисам
тоже найти не представлялось возможным. Но то, что был открыт 80 порт нас радует. Потому что, при желании, можно было найти баг через веб.
SQL:
Быстренько набрав в браузере адрес, принимаемся изучать сайт. Все построено на PHP. Что, если честно, радует. Везде мелькали скрипты типа www.bank.ru/index.php?go=33. Поставив в конец кавычку (‘) получаем инъекцию:
Код:
Warning: mysq_array(): supplied argument is not a valid MySQL result resource
in /usr/local/apache/htdocs/index.php on line 14.
Все попытки вытащить, классическим приемом пароль какого-нибудь пользователя не увенчается успехом, а именно: SELECT * FROM admins WHERE login="$login" AND
password=MD5("$password"). Подбирать названия таблиц - нам лень. Ведь, ИМХО, обломно сидеть и наугад долбить по клаве. Но тут есть один скрипт, который может автоматизировать SQL-инъекцию.
Ищем баг через гугл:
Открыв гугл, набираем следующую команду: site:bank.com filetipe
hpИ получаем ссылки которые мы не нашли на сайте. Это был Invision Power Board 2.0.3. Но там было зарегано всего около 10 человек! Это - работники банка и прямо там они обменивались информацией. Можно написать сплоит - 1dt.w0lf из команды RST. Работа сплоита заключается в SQL инъекции, которая позволяет получить пароль админа. Скачав нужный сплоит, запускаем его. И тут, вместо MD5 хеша, получаем звездочки. Открываем файл блокнотом и обнаруживаем, что сплоит необходимо пропатчить. Найдя, где стоит внести изменения, компилируем сплоит заново и получаем нужный нам MD5.
Взлом MD5 с помощью брута:
После этого, мы запускаем MD5Inside, выбираем функцию "Брут по словарю". Результат не заставил долго себя ждать. Теперь озадачимся следующим вопросом - что делать дальше? Заливать ли на сайт shell или приконектится к 22 порту сервера и попробовать его там. Но лучше запустить putty.
Пароль в наших руках:
Теперь мы - admin в системе, с группой wheel. Команда «ps ax» показала, что запущен процесс самбы. И что интересно - smbd был запущен в качестве Primary Domain Controller. Причем самба обслуживала домен "SECURE". Но как нам завладеть системой?
Почитаем логи и увидим, что пользователь часто заходит под рутом. А что если пароль подойдет и на рут? И вуаля, наш юид = 0.
Но не всё так просто:
Выполняем команду: mysql -uuser -ppass -e "show databases. База, которая нам так нужна - её нету! НО! Ведь админ, который ставит на всё одни пароли – не такой-уж и дурак, чтобы хранить супер ценную DB на сервере банка.
Далее:
Выполняем команду: nmblookup SECURE – и обнаруживаем около 10 включенных
компов. Единственным способом проникновения на эти самые машины являлся
терминальный сервер. Чтобы его поднять, нужен 3389 порт. Выполняем команду: which nmap и получаем одобрительный ответ. А дальше сканирование – дело техники. Также, можно добавить флаг –O, чтобы определил версии OS. Как ни странно, везде стояли Win XP, а у одного стояла WIN 7 и сервер (К примеру нам повезло – там был открыт 3389 порт)! Теперь нам нужен был логин и пароль какого-нибудь привелегилерованного пользователя. Можно
было конечно создать своего - что мы и сделали.(действуем очень беспалевно!) Все было сделано командой smbpasswd – C://‘ваше_имя’. А потом добавляем на своего пользователя права на администратора.
Ищем клиент для терминального сервера:
Следующая наша проблема состоит в том, что нужно найти терминальный клиент. Идём в гугл. На левый запрос было очень много фиговых ссылок. И тут мой взор упал – на надпись, что у Win 7 serv есть свой дефолтный терминальный клиент. Принимаемся разгребать информацию о нем.
Пот и слёзы:
Долго ли, коротко ли, но настраиваем терминал. Squid-proxy, на них ставим allow на наш ip. Потом следует HTTPort. Последние штрихи - вносим в свойства подключения адрес 127.0.0.1.
И вот она наша удача, после долгих мучений, мы увидели перед собой окно ввода логина и пароля. Без затруднения мы набрали свой логин и пароль, которые создали ранее. И вошли в систему!
Ищем базы и сливаем:
Трудно не заметить MSSQL-сервер. Зайдя в директорию MSSQL видим порядочное количество различных баз, а среди них нужная нам – clientele (к примеру). Чтобы не ошибаться, архивируем еще несколько увесистых баз и с помощью Total Comander, входим на наш сервер и начинаем заливать базу. Очень хорошо, если у банка хороший канал и примерно через 40-50 минут мы получаем увесистый архив с нужными нам базами.
Чистим логи:
Для начала уничтожаем полностью всё в файле wcx_ftp.ini – там наше подключение к ftp. Потом, используем clearel (консольная утилита для чистки логов). После чего мы выходим из системы. Для того, чтобы не спалиться на сервере, мы вообще сносим все логи к чертовой матери.
Итог:
Получаем дохера бачей на свои левые счета
P.S.: Конечно же эта статья для ознакомления!
P.S.S: Всё написано вручную. Немного инфы брал с других сайтов.
