Статья взята с сайта http://www.ihgroup.ru/

Однажды, бродя по www, я нашел сервер предостовляющий хостинг (пусть это к примеру будет hosting.net) и решил посмотреть на его security level =) Просканив порты ничего интересного не нашел, потом взялся за сканирование на цги. Сканер показал мне несколько скриптов, одним из которых был whois_raw.cgi, который проверяет занят домен или нет. Как извесно, кроме того как показывать инфу о домене он еще и позволяет выполнять команды (с правами веб сервера конечно). Ну первая команда которая мне пришла на ум была конечно же cat /etc/passwd -) И так вводим в строку браузера:

http://www.hosting.net/cgi-bin/whois_raw.cgi?fqdn=%0Acat%20/etc/passwd

Тут я увидел длинный файл паролей, большинство которых были в shadow и посмотреть я их конечно же не мог. Но паролей 10 было и тут. Как потом оказалось все они состояли только из цифр и расшифровать их было легче простого. Уже через пол часа у меня были все 10 -) Но все аккунты были ftponly и только 2 позволяли зайти на шелл. Я сразу задефейсил все сайты, для чего посмотрел httpd.conf чтобы узнать какому юзеру какой домен принадлежит. Потом поставил кучу сканеров на шелл и забыл про сервер.

Я юзал шелл примерно две недели, после чего видимо админ наконецто просек что я его поимел и все прикрыл. Я розозлился, т.к. канал был очень быстрым и такой шелл терять не хотелось. Мне повезло что админ забыл убрать whois_raw.cgi (или просто не знал о его уязвимости что скорее всего) и я снова сделал cat /etc/passwd, но админ перенес все пароли в shadow и я обломался. Но мне очень хотелось его снова поиметь, за то что он так нагло закрыл мой шелл. Решил посмотреть права с которым запущен веб сервер - www. Потом выполнил команду:

http://www.hosting.net/cgi-bin/whois_raw.cgi?fqdn=%0Afind%20/%20-user%20www

После 10 инут поиска я увидел огромный список файлов, принадлежащие юзеру www -) Это означало что я мог делать с ними все что захочу. Большинстов из них были index.html в директориях некоторх юзеров, а также index.html самого сервера -) Я их сразу поменял командой:

http://www.hosting.net/cgi-bin/whois_raw.cgi?fqdn=%0Aecho%20Hacked%20>%20/home/

user/public_html/index.html

Но у большинства юзеров файлы принадлежали им и я ничего не смог с ними сделать. Зато вспомнил что на сервере стоит FrontPage и в моем списке было куча файлов service.pwd которые находились в /home/user/public_html/_vti_pvt/. Мне было влом их расшифровывать, поэтому я просто вставил туда свой DES, который уже был расшифрован. После чего пошел к соседу (Front Page'a у меня нет, а винды ради этого ставить я бы не стал) и задефейсил еще несколько сайтов.
Так я очень долго издевался над админом который только и успевал что снимать дефейсы -) После чего видимо его уволили и взяли другого, который и удалил whois_raw.cgi .

--
Serega[Linux]
Все вопросы на linux@ihgroup.ru