ЖивоЖурнальная атака

Помнишь, как модно было раньше иметь пейджер? И как через несколько лет ему на смену пришел сотовый телефон? Если провести такую же аналогию в интернете, то на сегодняшний день мегапопулярно иметь свой ЖЖ - Живой Журнал. Сайт Livejournal.com хостит у себя дневники пиплов, которые изливают свои жизненные проблемы и веселые креативы на виртуальных страницах в ожидании тысячи комментариев от читающих. Естественно, среди ЖЖистов можно выделить некую элиту с огромным количеством friends off, то бишь с нехилой аудиторией читателей. Для нас спортивным интересом является заиметь аккаунт элитного писаки и подна, извини, срать ему, запостив разоблачающую правду о том, как он в 10 лет украл щенка и отрезал ему ухо. Но ближе к делу. Как ты уже узнал из соответствующей статьи во взломе этого номера, хакерская атака обрушилась на портал картинок ЖЖистов - lj.com.ua. На этом сайте любой ЖЖ-юзер может хранить свои картинки с последующим выкладыванием их к себе в журнал. После первого поверхностного осмотра я нашел баг, позволяющий переименовывать любой файл. Таким образом, уже через минуту передо мной красовался /etc/passwd.

Брутать аккаунты мне не хотелось - большинство из них не имело валидного шелла. Мне в голову пришла более изысканная идея - создать изображение, в котором помещался PHP-код (в виде комментария), затем переименовать картинку в test.php и обратиться к скрипту. По всем правилам upload-скрипт позволит залить изображение, а баг в сценарии разрешит переименование. Буквально через пять минут я воплотил идею в жизнь и получил рабочий PHP-шелл. Правда, мне постоянно приходилось перенаправлять вывод команды в файл, а затем обращаться к нему. Поэтому я просто вызвал wget и скачал полнофункциональный PHP-шелл.

Далее мне нужно было скачать MySQL-базу пользователей. Здесь тоже не обошлось без ухищрений. Ушлый администратор запретил доступ к каталогу /inc, где располагались скрипты аутентификации с БД. Для обхода ограничений я воспользовался эксплойтом для ядра 2.6 от raptor. Он позволил изменить группу доступа к папке inc, с последующим считыванием сценария values.php. В нем, как ты, наверное, догадался, располагались четыре переменные, позволяющие слить дамп таблицы users. Именно этот шаг я и сделал, используя возможности mysqldump.

Затем наступил самый интересный момент. Я нашел в базе аккаунт пользователя h1nt и попытался залогиниться под ним. Все прошло без проблем – я попал внутрь, однако отправить сообщение не смог. Это обуславливалось тем, что пароль на livejournal.com отличался от текущего пассворда. Видимо, ушлый h1nt почуял неладное и сменил пароль. Но отчаиваться смысла не было, так как у меня в руках была полная база рунетового ЖЖ. Здесь было над кем подшутить.