Хак-конкурс: стань админом номер два

Xakep, номер #064, стр. 064-082-1

Часто играешь в компьютерные игры? Знаешь, а ведь есть и более интересные развлечения. Причем некоторые из них еще и полезны для развития серого вещества. Например, наш Х-квест, цель которого – поломать сервер, получить доступ к секретной информации и выполнить некоторое задание. Взлом – это тоже своеобразная игра, каждый level up доставляет здесь массу удовольствия ;). Итак, победителем (даже победителями) мартовского Х-конкурса стали чайник (ifs@inbox.ru) и девушка Лисенок (angel13@no4ma.ru) - они первые, кто целиком прошел X-конкурс. Чайник и Лисенок! Приезжайте к нам в редакцию, мы с удовольствием вручим вам призы :). А кому не удалось взломать сервер - не отчаивайтесь, а как можно быстрее приступайте к выполнению задачи этого номера. Она заключается в следующем. На сайте www.padonak.ru находится модерируемый форум. Необходимо получить доступ к администраторской учетной записи и поднять до небес собственные права в системе. Для этого тебе предстоит пройти следующие шаги:

1. Сначала регистрируешься на форуме.

2. Дальше находишь в скриптах CSS-баг.

3. После этого посылаешь зазнавшемуся администратору приватное сообщение, в которое встраиваешь хитроумный JavaScript, реализующий твою СSS-атаку. Если на этом шаге все сделаешь верно, спустя некоторое время получишь его кукисы с ценной информацией, которая и поможет тебя завладеть правами администратора. Что делать дальше с куками, ты, думаю, знаешь. А если забыл – прочитай статью «межсайтовый скриптинг как оружие» в мартовском номере.

4. Заключительный шаг. На нем ты уже должен владеть администраторским аккаунтом. Заходишь в панель управления и простыми манипуляциями мыши повышаешь себе права доступа до администраторских.

В случае успеха ты сможешь создавать новые разделы форума. Создай конференцию с названием «Я прошел конкурс!» и напиши нам об этом на мыло konkurs@real.xakep.ru. Это и будет знаком того, что именно ты стал победителем.

Как пройти мартовский конкурс

Прошлый конкурс был действительно прост. Shell-access на падонкафском сайте нужно было получить с помощью банального бага PHP code-injection, присвоив переменной razdel адрес своего скрипта (этой теме посвящен видеоурок январского и февральского номеров). Исследуя содержимое директорий, ты наткнешься на папку data, в которой лежит страница admin.htm. Этот файл, в свою очередь, содержит ссылку на искомый администраторский интерфейс (http://xakep.nsd.ru) и логин. Если бы ты туда зашел, увидел бы появившееся окошко basic-авторизации. Паролем было слово «target», которое есть почти во всех словарях, поэтому его можно было подобрать любым брутфорсером, например Brutus’ом.

P.S. И помни, что тебе не стоит заморачиваться проблемой собственной безопасности - за взлом сайта www.padonak.ru мы тебя искать не станем ;).