Штурм обменника электронных валют
Одним весенним днем у меня на телефоне закончились бабки, и чтобы исправить эту ситуацию, я решил, не выходя из дома, купить карту через инет. Действительно, зачем идти куда-то за картой, если сегодняшние технологии позволяют купить PIN-коды карт оплат через интернет, не обладая никакими особенными познаниями. Зайдя в Гугл и введя запрос вроде «PIN-коды за WebMoney в Мой_Город», я нашел то, что искал. Даже более того - там можно было вводить и выводить WebMoney, купить любую интересующую меня карту оплаты операторов мобильной связи, какие-то карты для онлайн-игр и прочий полезный стафф. И тут мне в голову пришла интересная идея…
In Fraud We Trust
Идея была очень сомнительной. Меня очень заинтересовал этот сайт, но я был не уверен в том, что его стоит щупать на предмет багов. Ведь, как правило, администраторы таких ресурсов не лохи, и за попытку взлома можно серьезно получить по шарам. Но мысль о том, что на мобилу можно скинуть, к примеру, 100 баксов, мне не давала покоя, и я принял решение взломать обменник. Но прежде всего надо было позаботиться о безопасности, которую я условно разбил на две части: VPN и Socks. Свалив на улицу и вернувшись уже ближе к ночи, я открыл браузер, загрузил главную страницу сайта… И понеслось…
Изучаем структуру сервера
Cайт обменника был целиком написан на PHP. Минимальное количество скриптов и ничего лишнего - никаких гостевых, форумов я не нашел. Беглый осмотр скриптов на такие распространенные баги, как SQL/PHP-инъекция, PHP-инклуд и XSS, ничего полезного не дал. Тут я решил немного схалявить и просканировать сайт CGI-сканером на наличие директорий и потенциально опасных скриптов. В качестве CGI-сканера я выбрал ныне уже ставший классикой сканер Nikto. Он бесплатен, имеет огромную базу уязвимостей, постоянно обновляется и характеризуется кроссплатформенностью, так как написан на скриптовом языке Perl. Впрочем, хватит описания. Я запустил сканер на шелле в режиме обычного сканирования:
./nikto.pl -host site.ua –generic
Не поленился открыть второе окошко PuTTY, залогиниться на том же шелле и запустить nmap, чтобы узнать, какие порты открыты на удаленном хосте:
./nmap -sT -F site.ua
Сканер портов сработал довольно шустро, и перед глазами предстала следующая картина: на сервере крутились FTP, SSH, HTTP/HTTPS, POP3/SMTP, http-прокси SQUID, ну и еще пара ненужных сервисов. Что касается SQUID, он был самой последней версии, так что на халяву ничего не могло пройти. В то время как я исследовал работу сервера в целом, Nikto уже нашел кучу всего. Самое минимальное, что можно было выделить, - это нестойкий к переполнениям модуль Апача mod_ssl, проэксплойтить который мне, к сожалению, не удалось.
Зато меня порадовали директории. Сначала я заглянул в папку /icons, даже и не надеясь найти там что-то интересное :). Далее выяснилось, что на сервере стоит phpMyAdmin в одноименной папке. А это уже интересно. Затем админка, которая находилась в /config. При ее осмотре на наличие SQL-инъекции, с помощью которой можно было бы войти в админку по запросу типа «' or '1' = '1'», я снова ничего не нашел. Я подождал еще немного, и сканер скинул мне линки на /webmail (с нее тоже было нечего взять) и на Error_Log, в котором мне посчастливилось обнаружить лог ошибок в PHP-скриптах:
