В поисках эксплоитов

Дмитрий Докучаев aka Forb

Xakep, номер #052, стр. 052-060-1

(forb@real.xakep.ru)

Штурмуем хостинги поисковыми запросами

В настоящее время по непонятным причинам хороших эксплоитов в public источниках становится все меньше и меньше. И самое неприятное, ходят слухи, что у иностранных трейдеров проблем со свежими сплоитами нет. То ли им дали установку не торговать с русскими, то ли наши хакеры держат их под десятью замками и ни в коем случае не дают в руки обычным людям, а тем более паблик-хранилищам (что приведет к потере актуальности новой баги и невозможности дальнейшего использованию сплоита). Если ты что-нибудь знаешь об истории сплоитов, вспомни недавний баг с ssl_mod. Не появись он на паблике, наверняка осталось бы много уязвимых серверов...

Но не будем углубляться в историю, а вернемся к реальности. Озадачим себя вопросом: откуда берутся... сплоиты? Нет, конечно, их придумывают исследователи *nix, win платформ, но что дальше? Достать сплоиты можно двумя способами. Первый: стрейдить их на IRC. У этого способа есть свои плюсы и минусы. Он был описан в недавнем выпуске Хакера, поэтому останавливаться на нем не буду. Особый интерес представляет другой вариант, носящий сугубо личный характер, то есть исход его зависит только от тебя =). И ты точно не будешь надут злым риппером из забугорья. Но тебе понадобится смекалка, сноровка и чуть-чуть терпения, и поверь, ты добьешься успеха. Не буду тебя томить, этот способ заключается в поиске архивов сплоитов на больших хостингах.

Поиск, поиск и еще раз поиск. Некоторые могут удивиться и сказать, что найти все это добро можно всего одной командой: locate xploit. Но админы народ гуманный и уважают сокровенные файлы своих юзеров (вот уж не сказал бы :) - прим. ред.), поэтому доступ к locate и ее базе, скорее всего, будет запрещен. Рута на хостинговом сервере у тебя тоже наверняка не будет, это обуславливается двумя причинами:

1) Новой системой, установленной на сервере.

2) Фаерволом, который закрывает все порты, кроме ftp, web и mail-сервисов.

Отсюда вывод, что искать будем через веб-шелл, ну или если очень повезет (в случае отсутствия 2-го пункта), то через реальный шелл. Я попытаюсь рассмотреть все возможные варианты поиска, с которыми мне приходилось сталкиваться. Надеюсь, что хоть один из них будет актуален на твоем хостинге.

Во-первых, твоя задача состоит в поиске жертвы и возможности доступа к cgi-скрипту, позволяющему выполнять команды через web. ][ не раз писал об этом, так что поднимай старые номера и читай. Когда эта задача выполнена, ты можешь попытаться найти и скачать новые сплоиты. Как это сделать, читай ниже.

Поиск

1. Free Locate

Самый банальный способ: на хостинге доступна команда locate, и у тебя есть права web-сервера. По неписаным законам, все файлы, лежащие на вебе доступны для чтения uid'у, под которым запущен апач, так что сложность задачи заключается лишь в верном выборе шаблона для поиска. Приведу несколько таких шаблонов:

hack*

xploit*

sploit*

wu*

0day*

rootkit*

7350*

7350 - цифры, показывающие, что данный сплоит от команды TESO. С остальными шаблонами, я думаю, вопросов не возникнет. Вывод работы locate лучше всего записывать в файл с перенаправлением типа ">>", чтобы вся найденная инфа сбрасывалась в одну кучу.