| Издательский дом ООО "Гейм Лэнд" | ЖУРНАЛ ХАКЕР #74, ФЕВРАЛЬ 2005 г. |
Х-конкурс
Игнатов Олег aka BLooDeX
Хакер, номер #074, стр. 074-073-1
(bloodex@real.xakep.ru)
Если ты часто читаешь наш журнал, то, думаю, не раз слышал о переполнениях буфера, массивах, классах и т.д. Собственно, в этом конкурсе у тебя есть отличная возможность проверить свои навыки в подобных хакерских атаках. Какое именно приложение надо отравлять – это ты сам решай. Основная твоя задача – получить web-шелл и дефейснуть сайт. Если ты еще не знаком с переполнениями, скорее доставай Х-спец Buffer Overflow и читай его от корки до корки (электронную версию журнала найдешь здесь: www.xakep.ru/articles/magazine/2004.asp). Предупреждаю сразу, решения задачи с использованием шелл-кода мы не примем. И еще, когда будешь дефейсить сайт, оставь ссылочку на оригинальную главную страницу www.padonak.ru, чтобы все остальные тоже могли похаксорить. Описание прохождений присылай на bloodex@real.xakep.ru
Ну а теперь давай я расскажу, что надо было сделать, чтобы получить пароль в предыдущем Х-конкурсе. Скрипт image.php, помимо картинок, умеет читать любые файлы на сервере. Если в строке запроса мы напишем image.php?image=script.php, то, просмотрев это дело с помощью view source в Опере, увидим исходник файла script.php. Точно так же можно просмотреть и image.php. Изучив код, легко понять, что приватные обои лежат в некой папке, имя которой и есть искомый пароль. В contact.php видим, что можно через строку запроса задать еще один элемент массива wfile и тем самым записать любой txt-файл на сервере. Например www.padonak.ru/contact.php?name=BLooDeX&mail=bloodex@real.xakep.ru&text=test&where=3&wfile[3]=testfile допишет в testfile.txt такую инфу:
From: BLooDeX
Mail: bloodex@real.xakep.ru
Text: test
При взгляде на исходник news.php станет понятно, что, слегка изменив файл news.txt, можно заставить новостной скрипт прочитать содержимое директории «.».
Для того чтобы таким образом изменить news.php, делаем запрос:
www.padonak.ru/contact.php?name=BLooDeX&mail=bloodex@real.xakep.ru&text=;aaa;hack;.;blablabla;&where=3&wfile[3]=news
Теперь, чтобы news.php прочитал «.», достаточно аргументом задать id=hack (http://www.padonak.ru/news.php?id=hack). Он выведет нам кучу какой-то инфы, среди которой можно отыскать пароль megalongunbrutablepassword05.