ЖивоЖурнальная атака

Master-lame-master

Хакер, номер #075, стр. 075-044-1

История взлома украинского lj-сервера

Однажды ко мне в аську стукнулся Бублик и попросил подшутить над Хинтом. Задумка была такая: я должен взломать его ЖЖ-аккаунт и запостить сообщение, в котором Хинт признается Бублу, что очень любит своего кумира и готов стать его женой. Я оценил шутку и решил попробовать воплотить ее в реальность.

Ломать сервер livejournal.com мне не хотелось. Во-первых, никто мне за это не скажет «спасибо», во-вторых, хакнуть такой крупный проект очень проблематично. Поэтому я решил начать с украинского ресурса lj.com.ua, служащего для хранения картинок зарегистрированных ЖЖ-пользователей. Обратившись к странице www.lj.com.ua/img/h1nt, я получил ошибку с кодом 403. Это означало, что Хинт там зарегистрирован и ничто не мешает узнать его пароль.

Все началось с тапочек

По счастливой случайности у меня уже был аккаунт к локализованному ЖЖ. Логин носил гордое имя tapo4ki, а пароль не отличался особой сложностью. Я авторизовался под этим пользователем, а затем стал изучать возможности web-интерфейса. Их было немного, поскольку аккаунт был бесплатным и основные фишки не были доступны.

В нижнем правом углу располагался небольшой фрейм, содержащий список закачанных картинок. Рядом с каждой картинкой находились три ссылки: на добавление, удаление и перемещение картинки. Последняя опция очень меня заинтересовала. Я посмотрел сорс фреймового HTML-файла и таким образом нашел ссылку на сам сценарий, а заодно и узнал имена всех параметров. Выяснилось, что для переименования картинки sexy_girl.jpg необходимо обратиться по ссылке http://lj.com.ua/lj-files.php?file=sexy_girl.jpg&to=dirty_girl.jpg. Я был уверен, что админы могли предугадать хакерские шаги и обязательно защитили скрипт от кривых путей к файлу. Однако проверка показала, что администраторы не отличались особым интеллектом. Стоило мне подставить в запрос файл ../../../../../../../etc/passwd, а параметр to обозвать pass.txt, я увидел на экране сообщение о том, что невозможно удалить /etc/passwd. Как ты догадался, копия этого файла успешно материализовалась в текстовик pass.txt.

Получив список паролей, я подумал, что ситуация будет схожа с историей взлома rin.ru. У меня возникло желание найти местоположение httpd.conf, затем отыскать драгоценные зашифрованные пароли и залогиниться на ssh. Файрволом и близко не пахло, поэтому никто не запрещал мне присоединиться на 22 порт.

Но, как я всегда говорю, не бывает одинаковых взломов. Каждый раз, даже при похожих раскладах, мне редко удается повторить трюк, который я с блеском выполнил при предыдущей атаке. Во-первых, я потерял целый час на поиск httpd.conf, который админы старательно скрыли (в этом они молодцы :)). Во-вторых, на lj.com.ua была водружена cpanel – интеллектуальная web-система, с помощью которой можно поддерживать сервер. По этой причине только у двух системных пользователей была указана корректная shell-оболочка, и это обламывало идею подбора аккаунта. Нужно было думать до посинения мозгов и искать другой путь удаленного проникновения.