Gravatar de Armonth

El conocimiento es poder, cómo podría crackear 60.000 sitios de golpe

Publicado el Monday 17 de July del 2006 @ 6:05 por Armonth.

  • 16
  • 1

  • Comentar

“Disclaimer: por primera vez, iré con pies de plomo, en este artículo no se va a revelar la información necesaria para ello, creo que se puede hacer demasiado daño, para entenderlo sigan leyendo”.

Hoy he conocido una nueva dimensión de la frase “El conocimiento es poder” concretamente es poder… para joder a gente ajena, tal cual.

El caso es que estaba buscando por Google cuando he llegado a la web de un script en PHP para hacer tagboards bastante antiguo, del 2000 o cerca que fue realizado por un conocido mio y para mi sorpresa seguía activa la web…

El script hoy en día teniendo foros, weblogs, etc., cabría pensar que ya no es tan popular como antaño, pero una búsqueda por el nombre del proyecto en Google dio 85.000 resultados y a escasas posiciones de la web oficial un fallo de inyección de código del 2004 para todas las versiones anteriores a una de las últimas revisiones hechas…

El fallo es muy simple de aprovechar, un formulario directo al fichero php de la web / víctima con un input oculto para hacer saltar una variable mal asignada y así poder introducir código…

Una segunda búsqueda… 62.000 sitios con versiones vulnerables de este script, por lo cual tengo el conocimiento necesario (el cual es muy muy básico) para joder a 62.000 páginas webs…

¿Por qué no lo hago? porque tengo ética, pero repasándolo fríamente da miedo pensar lo que se puede hacer, le comentaba a Boja sobre ello y qué podría pasar si reenviará todas ellas a una web en particular:

  1. Muchos de esos sitios no están abandonados, solamente usan una versión antigua, algunos con mucho tráfico, añadiendo un redireccionamiento de 60.000 sitios a uno podría dejar colapsado un servidor que no estuviera preparado para recibir miles de visitas extras de golpe.
  2. La gente al ver ese redireccionamiento pensaría que es un acto del autor del sitio al que se redirecciona por lo que aprovecharían cualquier manera de contacto para ofrecerle unas bonitas palabras de amor…
  3. No me extrañaría que los buscadores vieran con malos ojos una web a la cual 60.000 sitios son redireccionados, más de una expulsión creo yo que caería.

Para los más expertos quizá no os suene a nada nuevo, otros scripts han sido famosos por ser usados por spammers para crackear montones de webs como por ejemplo hizo un turco para mi tampoco es algo nuevo pero sí lo es el saber cómo y tener en mis manos “ese poder”…

No sólo eso, lo he comentado con varias personas y dos de ellas han saltado con un “dime cómo que así me forro a visitas” (sigh…) ¿qué debería hacer? teniendo en cuenta que:

  1. La vulnerabilidad es bien conocida y corregida, los sitios se actualizan a menudo pero no actualizan el script por culpa de el/la webmaster…
  2. Ni de coña tengo el tiempo/me veo mandando ~60.000 emails y conociendo a mis amistades si publico aquí de qué script se trata no tardaran ni media hora en hacer el lammer.

¿Qué hago? ¿simplemente me olvido de ello? parece lo mejor o al menos lo más práctico…

16 Comentarios

  1. Javier:

    Estaría bastante divertido que publicaras el error, el script con el fallo, y algún ejemplo de página con mucho tráfico, siempre y cuando no sea responsabilidad mía. Más que nada, para ver cuanto nos podríamos divertir viendo como se van fastidiando unas cuantas paginitas.

    ¿Cuantos están de acuerdo conmigo? ¡¡Que Sigt.net no nos deje a medias!!

    Monday, 17 de July/2006 @ 18:58

  2. MorPhaGo:

    Dale caña a esos cabrones :P, nah es coña, yo de tí avisaría al creador de ese sistema que usa tanta gente advirtiendo del error y que lo arregle a la brevedad, seguro que te lo agradece y todo… y si no ¡dale caña a esos cabrones! xD

    Saludos.

    Monday, 17 de July/2006 @ 19:35

  3. Sitoxic:

    Es que no somos nadie, esperemos que el resto de gente que lo descubra tenga por l menos los mismos escrupulos que tu

    Monday, 17 de July/2006 @ 21:36

  4. Blaxter:

    Lo normal, si existen sitios con mucho tráfico usando ese software viejo que dices, sería contactar con ellos, indicandoles que actualicen su software.

    Posteriormente, si no lo actualizan, puedes publicar el fallo o un script para contentar a los scriptkiddies del universo.

    Monday, 17 de July/2006 @ 23:03

  5. Armonth:

    Blaxter, el problema es que no es fácil ponerse en contacto con todos, el bug es más que conocido (desde el 2005, da tiempo de sobra para enterarse ¿no?) y el script "guía fácil para scriptkiddies" me temo que sin decirlo ya lo han adivinado, visto lo visto …

    Tuesday, 18 de July/2006 @ 0:22

  6. aNieto2k:

    Hombre, lo suyo sería que sacaras un parche de esa aplicación y lo publicitaras o ponerte en contacto con tu amigo (el creador) y despues de darle una colleja le comentas el fallo y que lo corriga.

    Luego dependerá de cada administrador que se preocupe de corregir dicho problema.

    Es cierto que los "administradores" de sitios web cada día son usuarios más "normales". Con esto quiero decir que cada día es más facil montar un sitio web y tener miles de visitas, y por lo tanto no es necesario saber que cada X tiempo es recomendable realizar copias de seguridad, estar atento a posibles bugs en los entornos que utilizas…

    Por este motivo me extraña que solo encontraras 60.000,…

    En mi experiencia con PHP-Nuke, hacia obligatorio recorrerte las principales páginas de parche cada 6 horas, para que no te hackearan, pero eso lo aprendes despues de que te haya pasado alguna vez.

    Lo dicho, se más ético y currate un parche para salvar a esos 60.000 vulnerables ;)

    Tuesday, 18 de July/2006 @ 15:19

  7. Armonth:

    Pero a ver aNieto2k si no te conociera pensaría que no te has leído el texto: El parche está publicado de forma oficial, es más si tú te bajas el script ¿qué versión bajas? la que el desarrollador te de como recomendada, ¿cual es esa? la última, ¿tiene la última versión la cual te recomienda el desarrollador ese bug? no…

    Es como el virus Blaster, el desarrollador del producto (Microsoft) para variar tenía la vulnerabilidad corregida (y recomendaban actualizar) 4 o 5 meses antes de que el virus aprovechara la vulnerabilidad…

    El tipico problema de PICNIC…

    Tuesday, 18 de July/2006 @ 16:30

  8. Armonht:

    Si puedes cracker a 60000 "de golpe" lo tienes muy fácil les haces un mini-defacement que les añada: Error versión de xxx obsoleta, llame al administrador para su actualización. En pequeñito en rojo al final de la página.
    Y malo será que no lo arreglen.
    Eso sí, no lo hagas desde casa :p

    Tuesday, 18 de July/2006 @ 18:34

  9. Armonth:

    de golpe-golpe no, hay que pillar las ~60.000 urls "objetivo" a mano… y no tengo ganas de meterme a ello…

    "No lo hagas desde casa" <- tú lo has dicho, vamos a inculpar a algún amigo mio… }:^P

    PD: Tú nick es casi el mismo que el mio ¿casualidad o causalidad?…

    Tuesday, 18 de July/2006 @ 18:44

  10. loga.ch:

    Hay un dicho que dice "el papel lo puede todo" y creo que lo que aqui se dice, se cumple al pie de la letra, tratar de decir algo y no decirlo, me parece una tontera.
    No me convense tu descripcion, creo que tu no tienes ni el conocimiento ni el poder, solo palabras.

    Tuesday, 18 de July/2006 @ 19:58

  11. Armonth:

    Ya que se ha publicado en menéame supongo que da lo mismo, sí se trata del mismo programa/script del meneo y tal como dije, en la misma búsqueda en primera página sale la web oficial y la vulnerabilidad con todo lujo de detalles para poder hacerlo…

    loga.ch, el conocimiento lo tengo al igual que lo tendría cualquiera que hubiera leído el enlace nº10 de la búsqueda, el poder lo mismo, lo que no tengo es las ganas **de ir jodiendo** y por eso mismo me he reservado el dato de qué script es…

    Sé que la seguridad por oscuridad no suele servir de nada pero en estos casos decir "hay xx sitios vulnerables" a un fallo publico desde hace tiempo y que no se actualizan es sólo dar carnaza a los script-kiddies…

    Y por último, qué te parezca una tonteria pues vale, respeto tu opinión como cualquier otra pero lo escribo por que puedo (y quiero) :)

    Tambien hay un dicho que dice que "a buen entendedor… palabras sobran" cosa que viendo algún que otro email recibido al respecto, pfff…

    Por si no ha quedado claro, me repito: yo lo único que quería con está entrada era comentar lo que me ha supuesto encontrar una manera tan sencilla de joder a tanta gente y cavilar sobre los posibles efectos secundarios aparte del ataque en sí…

    * Ganas de vacilar de conocimientos: 0.
    * Ganas de informar sobre fallos y ponerlos en bandeja a script-kiddies: 0.
    * Ganas de comentar una experiencia personal y/o sentimiento nuevo: todas.

    Un saludo.

    Tuesday, 18 de July/2006 @ 20:19

  12. mkal:

    hey vacano llegar ha conocer todo lo que sabes, me gustaria que me enseñaras. este mundo siempre me ha gustado y espero prenderlo por esto me serian de gran ayuda tus consejos

    Wednesday, 30 de August/2006 @ 6:30

  13. zyfer:

    ni por el berraco

    Wednesday, 4 de October/2006 @ 22:05

  14. zyfer:

    sip

    Wednesday, 4 de October/2006 @ 22:06

  15. christian:

    oye yo quiero ablar contigo agregame porfavor christian_leandro_diaz@hotmail.com porfavor

    Sunday, 29 de October/2006 @ 21:17

  16. astro:

    solo en busca de conocer…

    Saturday, 16 de December/2006 @ 6:43

Comentarios cerrados