Немного напряг киберкидал

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Такое бывает. Сидишь и коротаешь время до вылета в другой город, как вдруг на почту приходит фишинговое письмо, якобы от имени твоего друга. Очередная бесцеремонная наглость. В письме предлагают очень прибыльную работу и рекомендуют ознакомиться с деталями по ссылке. В общем-то, ничего нового, обычный спам, однако, в этот раз напрягло, что в теме письма стоит имя знакомого мне человека.

Я посмотрел на этого человека — он сидит со мной за одним столом, ничего не подозревает и тоже коротает время до рейса, едва ли ему пришло в голову забавляться тем, что предлагать мне работу с заработком до 5 тысяч рублей в день. Становится любопытно.

По адресу назначения письма становится ясно, что источником слива стал Avito, благодаря которому я уже получал забавные СМС. Что ж, Гугл заботливо заблокировал все ссылки в письме, открываем исходник сообщения и выдираем ссылку оттуда, запускаем чистый браузер, зажмуриваемся, и переходим по ней.

Несколько редиректов и мы на месте. Длинная страница, содержащая даже видео с учебным пособием о том, как легко можно зарабатывать деньги, выбирая одну из двух картинок. Тут же можно наглядно убедиться в лёгкости заработка, потыкав в пять пар картинок и увидев, как быстро растёт баланс. Смотрим исходники страницы — когда-то обрадовавшемуся лёгкому заработку юзеру, по-видимому, планировалось подсовывать форму для мгновенного вывода средств, но теперь этот функционал закомментирован и не выполняется:

Вместо этого, теперь нам предлагают купить доступ к самому сервису, для чего нас перенаправляют на фишинговый домен e-pays.tv, мимикрирующий под сервис e-pay.tv. Конечно, даже самая поверхностная проверка позволяет выявить разницу: ни тебе https, ни других страниц — всё, отличное от первоначальной ссылки, неумело редиректится на главную страницу оригинальной платёжной системы. На этой же странице можно только выбрать способ оплаты и перевести деньги кидалам.

Запрашиваем вручную robots.txt и директорию /admin/ — получаем 403 на оба запроса. Ну ладно, тогда запускаем ZAP и натравливаем на домен паука, вместе с этим перебирая директории по словарям Dirbuster. Спустя 10 секунд становится известно, что на сайте имеется директория /admin2/, идём туда и видим CMS для управления комментариями на сайте, которые, конечно же, восторженные и содержат исключительно благодарности, но мы попробуем это изменить.

CMS, конечно же, просит авторизоваться, не стану её за это осуждать:

cms-outside

Пробуем протиснуть кавычку — ничего. Обратный слэш — джек-пот!

sql-error

Скидываем POST-запрос с авторизацией в sqlmap и спустя 5 минут уже козыряем ещё тёпленьким дампом базы данных сайта. Изымаем из специальной таблицы логин и пароль администратора CMS. Первым делом, прогоняем md5-хэш пароля по онлайн-сервисам, никаких результатов. Не беда, есть ещё и оффлайновые парольные словари. Прогоняем заветный хэш вдоль полутора миллиардов паролей и снова никаких результатов. Похоже пароль реально нетривиальный. Обход авторизации при помощи SQL-инъекции не работает. Привилегии уровня USAGE, так что добавить ещё один аккаунт администратора или сменить хэш пароля не удаётся.

Откладываем в сторону и продолжаем поиски пути в админку. На одной из страниц обнаруживается смешная строчка:

Очевидно, проверяется параметр auth, его легко можно установить вручную, если нужно. Проверяем текущее состояние:

Возвращается null. Ставим значение, которое устроит CMS:

Обновляем страницу, вместо запроса логина и пароля загружается интерфейс CMS:

cms-inside

Функция выгрузки комментария для редактирования внутри CMS тоже уязвима к инъекции SQL и не обладает, естественно, никакой защитой от CSRF, но ничего нового это не даёт. Подключено к той же базе с тем же пользователем.

Ну и ладно, теперь хотя бы можно восстановить справедливость и написать нормальные отзывы 🙂

Кидалы даже загрузили с десяток фейковых аватарок, что особенно удобно. Добавляем честные отзывы о сервисе и через короткий промежуток времени они исчезают, а хэш пароля в базе меняется. Несколько раз. Думаю, для среднестатистического админа кидального ресурса удивительно наблюдать всё новые комментарии зная, что он уже несколько раз сменил пароль.

К сожалению, я так и не выяснил, как они связали мою не самую основную почту с именем моего друга, но я точно их слегка напряг.

comments

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *