08 febrero 2009

phpBB.com comprometido

Estoy seguro que dentro de unos años, este caso podría categorizarse como "Hackeo Memorable". Desde hace unos años, los foros phpBB han sido víctimas de múltiples vulnerabilidades, así como sus módulos. Pero hoy, no hablaremos del software en si, si no que nos referiremos a la propia página que albergaba el proyecto, http://www.phpbb.com, y en la cual todavia a día de hoy se puede leer el mensaje de "Estamos trabajando en ello".


Recientemente, alguien pudo introducirse en el sistema gracias a una vulnerabilidad (con su correspondiente exploit en milw0rm) en un gestor de listas de distribución llamado PHPList, el cual contenía una inclusión de archivos locales con el que poder obtener cualquier fichero del sistema, únicamente introduciendo como parámetro la ruta de dicho fichero. El gestor, como no, estaba siendo utilizado en la web, más concretamente en el directorio /lists/.


Y a partir de ahí, como se dice, ancha es castilla. Tocaba revisar directorios comunes, ficheros de configuración y demás. Pero el atacante, quería llegar a más, por lo que intento buscar un punto de entrada para poder subir una shell. Primero lo que hizo fue, mediante el sistema de avatares, ir subiendo imágenes que contenían órdenes de leer ficheros de configuración (mediante cat) . Consiguió introducirse en el panel de administración del PHPList instalado, y con ello, hacerse con una buena lista de casi 400,000 direcciones de correo electrónico, que "muy amablemente" dejó en rapidshare. Ahora mismo el fichero está retirado, pero estoy seguro que hay spammers que todavía estan abriendo semejante fichero, mientras se frotan las manos.

Seguidamente se puso a crackear contraseñas del phpBB, se metió también en la administración del foro, leyendo mensajes privados ajenos. Ya para finalizar, se dirigió a uno de los templates o plantillas, dónde insertó un código que detectaba la dirección IP con la que se estaba accediendo, y en caso de resultar la establecida (en este caso, la del atacante), realizaría una inclusión (llamada include de PHP) para insertar un código en concreto que previamente había subido con su sistema anterior por avatares. En este caso no había subido un simple cat, directamente era el código fuente de la shell r57shell. No es más que una shell GUI, con la que se puede navegar por directorios y ejecutar comandos en el servidor de una manera más amigable.

Y así acabó su momento mágico, que él define "por diversión", aunque acto seguido se abriese una cuenta en blogger para relatar todo lo que realizó así como publicar los dumps de bases de datos, listados de usuarios, cuentas de correo y ficheros de configuración.

1 comments :

Voltaire dijo...

También es muy peligrosa la página "RebeldeMule" que sólo acepta información procomunista y prostalinista, persiguiendo a quienes propones ideas diferentes. Es un oprobio ilegal para vuestra seria empresa. Quien opina diferente es destratado y banneado.
Ej. "RebeldeMule.org Asunto: Re: LA DICTADURA DEL FORO SIGUE BANNEANDOPublicado: Lun Ago 31, 2009 5:41 pm


Visitante habitual


Registrado: Mié Sep 06, 2006 11:22 pm
Mensajes: 44 TOYOTA baneado, sabemos que se trata del mismo usuario Voltaire y que ya estaba iniciando otra vez el comportamiento disruptivo que nos llevó a echarle la primera vez."

_________________