Home.pl luka w zabezpieczeniach ?

[p_e_t_e_r]

Witam,

Posiadam dostęp do serwera business starter w home.pl.
nic specjalnego, dostep przez ftp i konsole administracyjna www w home.pl.

To czego brakuje to dostepu przez shella, taka opcja jest dostepna tylko dla serwerow dedykowanych, czy aby na pewno ?

I tu pytanie do was, czy odkrylem ameryke, czy kazdy o tym wie.

Oczywiscie dostepu przez telnet, ssh itd nie ma do shella, ale potrafie zrobic maly przekret dzieki php i uzyskac zdalny dostep do powloki.

I tak np moge sobie odczytac informacje o systemie poleceniem
uname -a:

Kod:

FreeBSD m086.home.net.pl 6.2-RC1 FreeBSD 6.2-RC1 #0: Tue Nov 28 13:18:03 CET 2006     [email protected]:/data/src/bsd/sys/i386/

Jak widac, mam dokladne wersje systemu i namiary na jakiegos goscia

df -h:

Kod:

Filesystem               Size    Used   Avail Capacity  Mounted on
/dev/amrd0s1a            5.8G    2.2G    3.1G    41%    /
devfs                    1.0K    1.0K      0B   100%    /dev
/dev/amrd0s1e.journal    260G     99G    140G    41%    /matrix
devfs                    1.0K    1.0K      0B   100%    /dist/dev

Widze podmontowane systemy plikow, widze gdzie i jakie pojemnosci

Po godzinie zabawy widze ze mam dostep do katalogow /usr/bin oraz /usr/lib, wiec moge wykonywac wszytkie polecenia w nich dostepne, oczywiscie w ramach praw jakie ma moje konto.

wget http://jakisSerwer.com/jakisPlik.zip
Moge sobie sciagac dowolne pliki wykorzystujac ich szybkie lacza, pliczek 12MB sciagal sie pare chwil.
Moge sie nim bawic, robic archiwa , rozpakowywac itd, tak jakbym normalnie mial dostep do shella.

dig

Kod:

; <<>> DiG 9.3.2 <<>>
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48024
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1

;; QUESTION SECTION:
;.				IN	NS

;; ANSWER SECTION:
.			449832	IN	NS	d.root-servers.net.
.			449832	IN	NS	e.root-servers.net.
.			449832	IN	NS	f.root-servers.net.
.			449832	IN	NS	g.root-servers.net.
.			449832	IN	NS	h.root-servers.net.
.			449832	IN	NS	i.root-servers.net.
.			449832	IN	NS	j.root-servers.net.
.			449832	IN	NS	k.root-servers.net.
.			449832	IN	NS	l.root-servers.net.
.			449832	IN	NS	m.root-servers.net.
.			449832	IN	NS	a.root-servers.net.
.			449832	IN	NS	b.root-servers.net.
.			449832	IN	NS	c.root-servers.net.

;; ADDITIONAL SECTION:
j.root-servers.net.	449832	IN	A	192.58.128.30

;; Query time: 2 msec
;; SERVER: 127.0.0.2#53(127.0.0.2)
;; WHEN: Sat Mar 24 15:02:50 2007
;; MSG SIZE  rcvd: 244

host home.pl

Kod:

home.pl has address 212.85.96.1
home.pl mail is handled by 20 mail01.home.net.pl.
home.pl mail is handled by 30 mail02.home.net.pl.
home.pl mail is handled by 10 mail00.home.net.pl

nslookup home.pl

Kod:

Server:		127.0.0.2
Address:	127.0.0.2#53

Non-authoritative answer:
Name:	home.pl
Address: 212.85.96.1

No i jeszcze wiele wiele innych..

Nie uwazacie ze to i tak za duzo informacji jak na konto bez dostepu do shella ?
Czy dla wprawnego hackera nie jest to przydatny zbiór informacji pozwalających przygotować atak ?

Powyższe informacje zostały uzyskane bez dostępu do konsoli z home.pl, uzyskano je dzięki zdalnemu dostępowi do konsoli przez www pewnym sprytnym softem.

Dodam na koniec iz podgrywajac jeden plik na konto ofiary, mozemy uzywac shella bez ograniczen w ramach konta, nawet nie musimy sie logowac, wchodzimy pod odpowiedni url i od razu mamy wjazd.

[markossx]

do root'a już bardzo, bardzo blisko

[p_e_t_e_r]

Nie sądzę, aby można było się dostać do roota, choć nie neguje.
Jeśli ktoś potrafi proszę o kontakt, możemy napisać artykuł na ten temat na hackin9.pl jako ciekawy news.

[markossx]

zrób uname -r i wklej...

[TQM]

To nie jest nic zaskakujacego (przynajmniej dla mnie)... php posiada kilka funkcji umozliwiajacych wykonywanie polecen systemowych - mozna je zablokowac w konfiguracji php ale tego zaden provider hostingu nie robi, poniewaz nie moze ograniczac klientom dostepnych funkcji - a niech akurat ich soft uzywa tych polecen i bedzie lipa...

Czy do root'a blisko czy daleko? Ani blisko ani daleko... zmieniles wlasnie kategorie ataku z remote na local - w koncu masz shell'a tak czy inaczej...
Pamietaj jednak ze kazde wywolanie takiego URLa zostanie zalogowane. Podejrzewam ze home.pl jako duzy provider moze miec automatyczne sprawdzanie logow i na pewno takie cos zauwazy a kasowanie logow i tak bedzie juz po fakcie...

Ja osobiscie wylaczam co moge w PHP... moge sobie na to pozwolic i narzucic moim developerom jak maja pracowac i juz - home.pl nie moze tego zrobic... klient placi, klient wymaga... koniec i kropka.

[p_e_t_e_r]

Powiadomiłem o tym fakcie home.pl

co do uname -r, to odpowiedz jest w pierwszym poscie z parematerm -a masz wyswietlone wszystko.

wolalbym aby nie bylo mozliwosci takiego wgladu jaki jest w tej chwili na serwerach home.pl, no ale skoro musi to trudno.

[markossx]

ale sznase na roota są, kwestia pokombinowania,
a z logami oczywiście święta racja

[p_e_t_e_r]

ale sznase na roota są, kwestia pokombinowania,
a z logami oczywiście święta racja

Tym bardziej ze wersja systemu to RC, czyli Release Candidate, wersja w stadium przed Stable Release, w takim stadium możliwe mogą być zapewne jakieś luki (jak i w stable, w sumie wszedzie), które doświadczeni programiści mogą znać i wykorzystać.

Jestem klientem home.pl i mam nadzieje, że coś takiego nigdy nie nastąpi

[TQM]

Swiete slowa p_e_t_e_r...
Tak jak napisalem - niestety home.pl nie moze wylaczyc wszystkich niewygodnych funkcji (a PHP ma ich troche) bo straci klientow. Tutaj jest ten sliski punkt rownowagi miedzy informatykami i handlowcami...

Fajna dyskusja wogole... congrats p_e_t_e_r

[p_e_t_e_r]

Swiete slowa p_e_t_e_r...
Tak jak napisalem - niestety home.pl nie moze wylaczyc wszystkich niewygodnych funkcji (a PHP ma ich troche) bo straci klientow. Tutaj jest ten sliski punkt rownowagi miedzy informatykami i handlowcami...

Fajna dyskusja wogole... congrats p_e_t_e_r

___Amen___.