Бомбим Rambler!
 

Маг (mag@wapp.ru, icq 878477)
Хакер, номер #099, стр. 094

Баги крупнейшего интернет-холдинга


Rambler.ru - интернет-проект, поражающий воображение. По этому адресу ты можешь найти буквально все для комфортного серфинга Сети. Миллионы людей ежедневно посещают Рамблер, чтобы проверить свою почту, воспользоваться поиском, познакомиться и пообщаться. Но хорошо ли программисты Рамблера позаботились о безопасности своего детища? Сейчас мы это и выясним. Enjoy!


XSS для разгона
Первым делом я решил поискать XSS-баги проекта, так как очень сомневался в существовании более крупных, подобных sql-инъекциям и т.п. (как выяснится позже, я глубоко заблуждался :)). Зайдя на Гугл, я ввел для поиска строку «site:rambler.ru filetype:php» и немного походил по выданным результатам. Среди них был сайт некой игрушки Destiny Sphere. Побродив по нему, я наткнулся на сайт alpha.destinysphere.ru (к сожалению, альтернативной ссылки с Рамблера на этот ресурс нет). Не мудрствуя лукаво, я скопипастил первую попавшуюся ссылку сразу с кавычкой:
http://alpha.destinysphere.ru/?p=newsweek&pubId=231&pubMode=showPub'

На это система мне выдала:Это уже было интересно :). Чуть-чуть поизвращавшись с этим параметром, я понял, что ничего серьезного из него не выжать, и просто подставил в pubMode значение showPub «<script>alert(document.cookie)</script>», на что браузер показал мне мои плюшки :).
Кстати, движок этого сайта был таким же, как и ds.rambler.ru, но XSS-баг работал только в нем.
Ошибки скриптов
Следующим моим запросом в Гугле был «site:rambler.ru error». Таким образом можно посмотреть ошибки скриптов Рамблера :). Поисковик сразу выдал целую тучу ссылок, где присутствовало, например, такое:


Но все подобные баги остались лишь в кэше Гугла. Единственная непофиксенная страница - это http://horoscopes.park.rambler.ru/fortune.html, перейдя на которую, наблюдаем:
error: Can't call method "name" on an undefined value at /home/horo2/source/comps/www/fortune.html line 16.
Если будет время, можешь разобраться с ней сам. Я же забил и стал искать более существенные баги :).
XSS на закуску
Теперь поищем XSS-дырки посерьезнее на остальных проектах Рамблера. Первым делом зайдем на «Rambler-Финансы» (finance.rambler.ru). Сразу бросается в глаза несколько окошек, связанных с котировками валют и прочими солидными фишками. Вводим в окошко «Найти котировку» кавычку, и что мы видим? Кавычка не экранируется! Далее пишем «<script>alert(document.cookie)</script>» и наблюдаем свои печенюшки и информацию о том, что котировка не найдена =). Чтобы сделать использование XSS более удобным, находим нужный нам параметр в html-коде документа и получаем следуюшую ядовитую ссылку:

http://finance.rambler.ru/db/instrsearch.html?words=<script>alert(document.cook ie)</script>,


В нее можно внедрить любой код для исполнения на стороне клиента.
Следующий объект исследования – «Rambler-Игры» (games.rambler.ru). Здесь мы можем использовать XSS-баг на странице авторизации http://games.rambler.ru/login.html. Просматривая html-код страницы, можно наткнуться на hidden-параметр back, в котором хранится адрес страницы. На нее пользователь перейдет сразу после авторизации.
Итак, сооружаем ссылку:
http://games.rambler.ru/login.html?back="><script>alert(document.cookie)</script><",

После перехода по ней видим свои куки :). Как и в предыдущей дырке, здесь тоже не экранируются кавычки.
SQL на сладкое
Итак, теперь самое вкусное :). У Рамблера есть очень и очень известная игрушка «Арена» (arena.rambler.ru или arena.ru), в которую гамят постоянно до тысячи человек онлайн. Начав исследование этого проекта, я наткнулся на базу знаний «Арены» (описание скиллов, NPC, оружия, вещей и т.д.) по адресу kb.arena.rambler.ru. Немного поизучав ссылки, я соорудил такой запрос:
http://kb.arena.rambler.ru/objects.php?it=CR'
И получил mssql-ошибку:
Это не могло не радовать :). Но теперь следовало выжать из этой дыры хоть какую-то пользу. Кавычки, как видно из информации об ошибке, экранировались. Но это не помешало мне составить следующий запрос:
В ответ я получил:
Значит, несмотря на экранирование кавычек, запросы к базе все же можно выполнять :). Теперь подбираем количество полей в БД:

Этот запрос не вызывает ошибки с различным количеством полей в БД и использованием UNION. Количество полей подобрано. Теперь нам необходимо узнать названия таблиц. В MsSQL все они хранятся в таблице INFORMATION_SCHEMA.TABLES в поле TABLE_NAME. Исходя из этого, составляем запрос:
И получаем список из названий таблиц. Дальше неплохо было бы узнать и названия полей из найденных таблиц. К сожалению, из-за экранирования кавычек нельзя вывести поля из (в) одной определенной таблицы (запрос «WHERE='таблица'» просто выдаст ошибку и не выполнится), но вполне возможно вывести их все сразу. В MsSQL эта информация хранится в INFORMATION_SCHEMA.COLUMNS в поле COLUMN_NAME. Составляем новый запрос:
Браузер любезно выводит нам все названия полей во всех таблицах:

Теперь неплохо было бы покопаться в таблице с аккаунтами пользователей. Вероятнее всего, она называется tLogins :). А пароли и логины, естественно, хранятся в полях Password и Login.
Таким образом, запрос «http://kb.arena.rambler.ru/objects.php?it=CR') union select NULL,NULL,NULL,NULL,null,Password,null,null,null,n ull,null,null,null,null,null,null,NULL ROM tLogins--», по идее, должен выдать нам список из всех паролей пользователей «Арены», но, в итоге, мы получаем только:
Тут необходимо применить маленькую хитрость. Так как в этой игрушке очень много зарегистрированных пользователей, скрипт, естественно, не сможет выдать нам информацию по всем одновременно. В MsSQL, чтобы ограничить запрос, применяется оператор «TOP цифра». Исходя из этого, немного изменим предыдущий запрос:
Этим запросом мы извлекаем только первые 20 паролей (кстати, все пароли зашифрованы md5). Соответственно, логины к этим паролям можно узнать так:
На этом можно было бы и закончить, если бы не еще одна особенность sql-сервера от мелкомягких - возможность исполнения shell-команд :). Погуглив на эту тему, я поколдовал над линком к еще одному бажному скрипту базы знаний «Арены»:
http://kb.arena.rambler.ru/char_sig.php?r=1';exec master.dbo.xp_cmdshell dir--

Но скрипт крупно обломал меня:Компонент, отвечающий за исполнение команд, был тупо выключен :(. Но и так уже много получив из этого бага, не испытывая судьбу, я решил закрыть страницу с «Ареной» :).

На посошок
Конечно, ты можешь спросить, почему я не использовал ни одного бага в своих корыстных целях? На это я отвечу лишь одно: своя шкура дороже :). Моя задача была лишь в том, чтобы предоставить тебе информацию к размышлению. Все описанные баги ты можешь использовать только на свой страх и риск.

WWW
http://rambler.ru - интернет-холдинг Rambler;
http://arena.ru - бажный проект Рамблера.

WARNING
Все описанное в статье является плодом больного воображения автора. Любые совпадения с существующими сайтами случайны.

Угу, читал. Самый прикол в том, что некоторые из описаных дыр до сих пор не прикрыты...

ну да, к примеру