Ломаем псевдокредиты

money001

Как всем известно, есть около 400 способов относительно честного отъема денег у народа. Сегодня мы вам расскажем еще об одном.

Есть такой скрипт, который на разных мигалках/дубликатах/криминаланетах продавался от юзера под ником SOX.

Суть наебки в следующем:

  1. Жертва ищет, где бы взять кредит (чаще всего - чтобы рассчитаться с другими кредитами).
  2. Жертва находит наеб-скрипт, заполняет заявку и отправляет жуликам (уже профит - можно продать скан/личные данные).
  3. Кредит жертве одобрен, но чтобы его получить, надо оплатить небольшую комиссию, а для этого надо пополнить "свою" карту (реквизиты карты одинаковы для всех жертв и указываются в наеб-скрипте).
  4. Жертва оплачивает комиссию, но кредит почему-то нельзя получить...
  5. ???
  6. PROFIT

Спустя некоторое время улетел SOX в баню, а скрипт его оказался на проверку SUX (отстой, другими словами). Проанализирован и анально захекан.

Обход авторизации.

В коде много пиздеца, но мы отметим только те баги, которые позволят нам залить шелл. Начнем мы с шикарнейшего кода в в файле /administrator/includes/admin_header.php:

Надо было лишь дописать exit. Конечно, это не спасло бы от похека, просто это только упрощает нашу работу. Все что нужно - просто отключить редиректы (или лазить через бурп и менять ответы с 302 на 200) и можно уже шариться по админке:

0001

И мы уже можем палить юзеров:

Узнаем id:

0002

Теперь тащим логин/пароль:

Просматриваем код странички, пароль там лежит как есть, в качестве логина используется почтовый ящик.

Заходим под данными пользователя в кабинет (/login.php):

0003

SQL-инъекция

Находясь в кабинете пользователя заходим в раздел "служба поддержки". Файл support.php содержит следующие строки в коде:

Старая добрая SQL-инъекция, для успешного похека кодируем в base64 строку:

И делаем запрос:

Получаем логин - admin, теперь надо получить пароль:

Кодируем:

Видим:

0004

Очевидно, что это base64, декодируем и вот у нас уже есть логин/пароль администратора. Заходим в админку...

0005

Нам необходимо изменить имя одного из пользователей - меняем с русского на английский (чтобы в дальнейшем проще было залить шелл).

Upload shell

Заходим под юзером и заливаем шелл. Очередная чудо-ошибонька. /querys/myaccount_sc/chg-pic_sc.php:

Просто меняем mime-type и заливаем шелл shell.php.jpg.

Далее заходим по адресу /userimg/username.php и вуаля:

0006

Шик. Блеск. Красота.

Найдем еще больше таких скриптов:

И ломаем всех тех, кто завис в даркманя-мирке.