Взломать онлайн магазин за 5 минут!

Xakep, номер #027, стр. 027-044-1

Игорь Лумпов aka Falcon 625 (root@falcon625.ru)

Что случилось?

В этой статье я расскажу о том как совсем недавно был взломан онлайн-магазин. Интересующий сайт/сервер натянули через shopping cart, которая называется cart32.

Что есть cart32

Cart32 - стандартная корзина, куда кидают свои покупки клиенты онлайн-шопов. Нас эта тулза интересует в первую очередь своей дырявостью.

Какие же баги присутствуют в cart32? Да там просто огромные дыры! Например, очень легко просмотреть пароли клиентов, даже в хешированном виде. Но об этом чуть позже.

Что же мне удалось сделать с сервером?

Все, что я хотел :). Во-первых, как уже было отмечено, сервер, на котором размещалась дырявая корзина, хостил у себя онлайн-магазин.

В связи с чем мне удалось забрать 6000 кред. Но на этом я не остановился и, после того как забрал все креды, решил сделать дефэйс.

С тем чтобы забрать креды проблем не было, а вот с дефэйсом пришлось немного повозиться.

Что пришлось сделать?

Сначала надо было добратся до кред. Это было сделано простыми манипуляциями через броузер за несколько минут, а вот для того чтобы отдефэйсить сайт, пришлось узнать пароль админа.

Как это все происходило

Описываемый магазин, я буду называть www.victim.com, т. к. дыра в нем все еще не закрыта, и все тут написанное, при определённом стечение удачных обстоятельств, можно будет с легкостью повторить на практике :).

Итак, сначала я просканил www.victim.com на дырявые cgi'шники. Сканер ничего не нашел и я решил посмотреть, что есть на этом сайте. Бродил-бродил я по нему и наткнулся на shopping cart - он был cart32 и тут я вспомнил, что видел где-то что-то про этот карт32 и решил раскопать инфу о том, что же это такое. Я отправился на багтрэк и нашел кучу постингов про этот cart32, а в одном из них я нашел полезную инфу, как получить права админа. Через несколько минут админ был получен.

Так как cart32 используется на куче различных сайтов, я думаю, тебе будет интересно узнать, что же надо делать (было б не интересно - "Мурзилку" б читал :). А делать надо следующее: сначала надо узнать пароль соответствующего сайту клиента, обычно он такой же, как и названию сайта. Так как здесь я рассматриваю сайт www.victim.com, название будет victim, набираем в броузере вот это:

http://www.victim.com/scripts/cart32/cart32.exe/cart32clientlist и получаем готовый лист клиентов с хешированными паролями.

Хешированные пароли я не считаю серьезной проблемой, если ты ломаешь магазин с версией меньше 3. При таком раскладе cart32 без проблем пропустит тебя, даже если ты введешь хешированный пароль. Хуже, если ломается корзинка с версией старше 3: пароли придется декриптовать, но это тоже не проблема: в cart32 используется не стойкий алгоритм, и декриптор паролей cart32, можно найти на packetstorm.securify.com.

Итак, теперь имеется логин и пароль к базе, где хранятся креды. Попасть в базу не сложно: создаётся html'ка со следующим содержанием:

<form method=post action="http://www.victim.com/scripts/cart32/c32web.exe/LoadTab">

<input type=hidden name="Client" value="ЛОГИН">