Что нового?
Интернет в Броварах
Карта Броваров
Спутниковая карта
Работа в Броварах
Анализируем взлом
Автор: Rage Noir - время 10:13 21/07/10

Месяц назад товарищ написал примерно следующее

не подскажешь что может дать такая строчка, в логе апатча нашел

[00/Jun/2010:00:00:00 +0300] " /stats/awards.php?d=0000-00-00'+ union+select+concat(ascii(substring((select+username+from+ps_user+ where+accesslevel=99+limit+0,1),1,1))%2B1900,'-10-01')'

Жаловался на то, что вытащили все пароли.
Тут явно видно эскьюэл-инжекшн.
Зашел на его страницу по этому адресу, на первый взгляд все ок. Никаких подозрительных символов не обнаружено.
Смотрим на запрос. Некто пытается узнать первую букву логина, далее берет ее номер символа в таблице аски. Далее к этой цифре прибавляет (символ %2B в урл-енкоде означает плюс) цифру 1900. Почему именно 1900? Чтобы админ поломал голову, как же его взломали. Дальше, думаю, будет понятно.
Меняем запрос на второй символ (limit 1,1) и смотрим что меняется — год в календаре.

2007 год.
Делаем реверс: 2007-1900=107, смотрим по таблице аски, символ номер 107 это k. Далее по анологии, слово получено, ник совпал, путь верный.

Дальше у некто шли аналогичные запросы по вытаскиванию пароля.
Опять год, вычитаем 1900, смотрим таблицу, получаем символ. И так 32 раза.
Получили МД5 хеш пароля. Гуглим по хешу и получаем пароль :)
Даже не пришлось применять радужные таблицы и прочую тяжелую технику.

Так вот, все было подстроено так, что для анализа пришлось нормально поднапрячь мозги. Эти 30 минут были интересным занятием по расшифровке импровизированного квеста.

Ребята, уделяйте вопросам безопасности больше времени :)



Добавить коммент

Имя

Text

Комментарии пользователей


tfkt01:53 23/04/18

jfki