Сейчас, как отмечают специалисты в области информационной безопасности, большинство хакерских атак производится не из хулиганских побуждений, а из соображений коммерческой выгоды. И хотя дефейс-ленты на популярных security-порталах регулярно обновляются, желание «срубить баблос» на своих навыках и умениях (а в случае отсутствия оных - на смекалке и сноровке) действительно становится доминирующим на хак-сцене.

И здесь можно идти разными путями: ломать сайты и мыла на заказ, получая от небольших до приличных «гонораров»; потрошить базы Интернет-шопов в поисках картона, который встречается в них все реже и реже; вытаскивать данные из датинг и джоб-сайтов и потом иметь неслабый геморрой с их продажей и т.д. А можно пойти «другим путем», как любил говорить за кружечкой пива в Цюрихе основоположник марксизма-ленинизма.

Некоторое время назад мне в руки попал список из более чем трехсот буржуйских банковских сайтов. Бегло просмотрев порядка трех-четырех десятков сайтов из списка я выяснил две интересных особенности: первое – как правило в небольших банках сайт и система онлайн-банкинга находятся на разных машинах и второе – на самих сайтах банков имеются уязвимости. Во всяком случае просмотрев три-четыре десятка сайтов я нашел 4 SQL-инъекции, 2 – XSS, и еще бажный скрипт поиска по сайту, выдавшей мне много полезной информации о сервере. И если к системе онлайн-банкинга получить доступ не удается, то можно использовать старый добрый фишинг, ведь получив доступ к банковскому сайту достаточно всего лишь подкорректировать линк, который вел бы клиента на наш фейк. Кстати, о том как создавать фейк ты можешь почитать в одном из номеров «Хакера» или обратиться к специалистам подобного рода на некоторых форумах.

Ну а теперь пришло время показать на практике теоретические выкладки выше. Первым бажным в моем списке оказался сайт небольшого американского банка. Банальная инъекция в скрипте позволяла выводить информацию из базы в меню:

http://***.com/bank.asp?ID1=ff

http://***.com/bank.asp?ID1=1'+union+select+table_name,2,3,4,5,6+FROM+INFORMATION_SCHEMA.TABLES--

Через минуту логины и пароли админов уже были у меня, с счастью пароли оказались в открытом виде. Оставалось найти админку, а это оказалось непросто. Не найдя ее по стандартным запросам /admin/, admin.asp, login.asp, я доверился google в своем поиске. К сожалению гугл не нашел админки, но я получил ссылку на еще один бажный скрипт с инъекцией:

http://***.com/pop_privacy.asp?ID1=1'+or%201=@@version--

Еще раз, на всякий случай, проверил имена и содержимое всех колонок в таблице Table_Admin:

http://***.com/pop_privacy.asp?ID1=1'+or+1=(SELECT+TOP+1+COLUMN_NAME+FROM+ INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME= 'Table_Admin'+AND+COLUMN_NAME+NOT+IN+('Password','PrimaryKey', 'UserName','Access'))--

Я надеялся найти информацию о CMS, чтобы выяснить где может находиться админка, но как показали дальнейшие действия она оказалась самописной. Просмотрев содержимое таблиц и колонок и не найдя нужной мне информации, я решил прибегнуть к последнему средству – сканеру XSpider 7.

Через час XSpider сообщил мне, что нашел несколько открытых портов, два скрипта (подверженных инъекции) о которых я и так знал, список директорий и список скриптов, которым можно передавать параметры.

В одной из директорий я обнаружил админку, но пароли к ней не подошли:

http://***.com/dsg/admin/login.asp

Попытки ее проинжектить не дали результата. Как позже выяснилось, это была система добавления pdf-файлов на сайт. Тогда я стал просматривать список скриптов с параметрами, выданный мне XSpider 7. И вот тут удача повернулась ко мне лицом, один из скриптов позволял загружать на сайт файлы в обход авторизации в админке:

http://***.com/dsg/doc_upload.asp

Что самое главное, загружаемых файлы не проверялись. Первое, что я сделал - загрузил свой самописный asp-шелл, но для его корректной работы требовалась возможность записи в корень диска С. В данном случае такой возможности не было.

Тогда я, найдя на винте папку с asp-шеллами, первым делом натравил на них каспера, тот радостно хрюкнул несколько раз и сообщил, что тут у меня вирусы притаились и предложил сделать полную проверку компьютера. Вероятность того, что на сервере стоял антивирус была высока и я не хотел палиться раньше времени, заливая известные антивирусам шеллы. Из всего списка asp-шеллов Каспер не определил только мой самописный шелл и еще один – то ли норвежский, то ли датский. Во всяком случае раньше я такого языка точно не видел. Залив его на сервер я столкнулся еще с одной проблемой - в шелле отсутствовала командная строка, зато список файлов и директорий был очень неплохо оформлен. Смущало одно - напротив каждого файла стояли кнопки с нечитабельными надписями. Чтобы ничего не запороть я залил этот шелл на один из своих сайтов на IIS, и методом научного тыка выяснил предназначение каждой кнопки.

После этого вернулся к банку. Первое, что я выяснил - месторасположение админки:

http://***.com/admin_bank/index_login.asp

Сюда уже пароли подошли и вот я уже админ банковского сайта с возможностью изменять его контент по своему усмотрению. Что мне собственно и было нужно.

Теперь осталось дождаться пока кодер допишет фейк системы онлайн-банкинга и можно грести баблос. Ну если не лопатой, то детским совком точно. Кто на что учился.