Поиск
Категории
Случайные новости
Архив
Статистика
Интересное
Забираем трофейную БД.
Автор: admin
/* Сливаем и извлекаем важную инфу из вражеской базы данных взломанного сервера/сайта. В статье будет рассмотрена БД "MySQL", т.к. её используют в большинстве проектов. */
Сейчас почти каждую неделю находят уязвимости в популярных форумах и сайтовых движках, а следом выходят эксплойты к ним. Не надо далеко ходить за примером: недели 2 назад, обнаружили уязвимость в популярном форумном движке Invision Power Board 2.x и буквально через несколько дней русская команда RST выпустила замечательный сплойт (за что им отдельный респект!), действующий на версии IPB 2.x < 2.1.5. Сплойт позволяет выполнять команды на уязвимом сервере... Похожий баг также содержится в phpBB 2. Вот где свобода выбора для хакера, ибо большинство форумов в инете теперь уязвимы! Но я не буду сейчас описывать работу сплойтов или способы взлома, мы поговорим о другом…
Многие, получив доступ к серверу и возможность выполнения команд на нём, банально дефейсят взломанный сайт. Одни это делают из жажды славы, другие из-за незнания что делать дальше… А сделать в такой ситуации можно действительно многое! Можно вообще попытаться порутать сервак и потом использовать его для своих целей… А можно слить все базы данных (далее БД) взломанного сайта, в которой может находиться очень интересная информация, такая как номера кредиток, пароли (о них поговорим чуть позже), е-майлы, и т.п. Тут возникает справедливый вопрос, - как всё это скачать и отфильтровать? Так вот, сейчас мы поговорим о транспортировке и извлечении интересных данных из БД. Рассмотрим два случая: когда на взломанный сервак залит веб-шелл (будет рассмотрено на примере r57shell от тех же RST) и удалённое подключение к БД сервера (на примере mysql.exe).
Ok, Let's Go!
[ Connect & dump ]
Рассмотрим процесс подключения к БД и создания её дампа. Первое что на нужно, это узнать логин:пароль рута базы. Посмотреть эти данные можно в файлах config либо в config_global и т.п. в каталоге взломанного форума. Также там прописан адрес SQL-сервера и прочие его настройки. Теперь рассмотрим коннект к БД. Здесь остановимся подробнее…
Web-Shell (R57shell)
Будем считать что шелл уже залит на взломанный сайт. Подключаемся… В r57shell имеется возможность работы с БД, что очень удобно. В "Выполнении запроса" выбираем: тип: MySQL; SQL-сервер:порт: localhost:3306; Логин:пароль мы узнали из файлов конфигов (кто проспал, смотрит выше…=) ). Это общие на стройки соединения. Далее действуем по обстоятельствам...
Сначала узнаем какие на сервере существуют базы. SQL-запрос: "SHOW DATABASES;". Теперь смотрим интересующую нас БД, или все, по очереди. База: имя заинтересовавшей нас БД, запрос: SELECT * FROM "название таблицы". Конечно же, в поле запроса можно юзать и другие команды SQL.
Теперь, когда выбрали какие таблицы и базы нас интересуют, будем создавать их дамп и писать его в файл. В "Дамп таблицы базы данных" выставляем общие настройки соединения как в предыдущем примере. Затем База. Таблица: название БД и таблицы соответственно; ставим галочку Сохранить в файл [v]: имя файла, он сохраниться в каталог в котором мы сейчас находимся. Всё, дамп таблицы средствами r57shell создан! Лицезреть его можно в текущем каталоге.
Удалённый коннект к БД (Mysql.exe)
Mysql.exe - консольная утилита предназначена специально для коннекта и работы с БД MySQL. Она входит в базовый комплект ДеНВеР'a, виртуального сервера под win-платформу. Скачать ДеНВеР можно с официального сайта. Всем советую! Скачали, идём дальше.
Для начала подключаемся к серваку БД:
mysql.exe -h адрес_сервера_БД -P порт -u Логин -p Пароль
Если всё сделали правильно, сервер радостно поприветствует нас и пригласит к дальнейшей работе с базами. Самое время оглядеться. Смотрим имеющиеся базы:
mysql 'SHOW DATABASES'
Теперь просмотри таблицы:
mysql 'SHOW TABLES' имя базы
А сейчас задампим заинтересовавшие нас базы, для этого юзаем mysqldump:
mysqldump.exe -h адрес_сервера_БД -P порт -u Логин -p Пароль имя_базы > /путь_к_доступному_каталогу/дамп.sql.
Очередная БД задампина!
Самое время всё это добро скачать.
[ Download ]
В r57shell существуют специальные функции для отправки файлов на е-майл, по FTP либо прямая скачка на свой винт (что в данном случае недопустимо, т.к. при этом может засветиться хакерский IP и другие нежелательные данные). Возможно сжатие как *zip для Win, так и *gzip для *NIX, что значительно поможет при транспортировке больших файлов. Думаю здесь проблем возникнуть не должно, т.к. там всё и так интуитивно понятно…
Если же у Вас нет веб-шелла, можно приконнектиться к серверу по FTP. Рекомендую Smart FTP Client, достаточно удобный и функциональный ФТП-клиент. Либо подключиться по SSH. В данном случае, на мой взгляд, лучший SSH-клиент - это PuTTy (его можно скачать с нашего сайта). Остаётся только слить файл-дамп на дружеский сервер, чтобы не светиться лишний раз. На этом мы останавливаться не будем, в инете и так полно подобных мануалов по этой теме.
[ Analysis ]
Ну что, дамп базы скачали, самое время выжать из неё максимум полезной инфы и данных. Первое что нужно сейчас сделать - это восстановить на своём сервере БД из дампа. Если у Вас установлен phpMyAdmin, то это делается импортированием данный из нашего файла-дампа. Тут тоже всё просто.
Можно использовать уже известный нам mysql.exe.
mysql.exe -u Логин -p Пароль < /путь_к_каталогу/дамп.sql.
После завершения процесса импортирования можно приступить к анализу добытой базы.
Смотрим название полей нашей таблицы:
mysql Decs название таблицы
И запоминаем важные для нас поля, например username, password, salt, email. Теперь отделяем интересующие нас поля от остального "мусора":
mysql SELECT username, password, salt, email FROM users
Видим все, что нам нужно. Также можно вывести данные из таблицы в файл. Например, формируем базу е-майлов под спам:
mysql SELECT email FROM users OUTFILE 'mail_DB.txt'
И все мыльники записались в файл mail_DB.txt.
Теперь эту базу, если там достаточно много адресов, можно продать. Есть смысл попробовать пароли к е-майлам или ICQ UIN'ам из соответствующих полей. А возможно получиться завладеть и PayPal-аккаунтом юзверя.
[ Выводы ]
Как видишь, слить базу данных со взломанного сайта не так сложно. А уж если после тщательного анализа окажется, что там есть ценные данные, можно извлечь большую выгоду и/или деньги из взлома, нежели просто дефейс.
Вот и всё что я хотел рассказать. Если появятся вопросы, пишете на нашем форуме в соответствующем разделе. Удачи!
Сейчас почти каждую неделю находят уязвимости в популярных форумах и сайтовых движках, а следом выходят эксплойты к ним. Не надо далеко ходить за примером: недели 2 назад, обнаружили уязвимость в популярном форумном движке Invision Power Board 2.x и буквально через несколько дней русская команда RST выпустила замечательный сплойт (за что им отдельный респект!), действующий на версии IPB 2.x < 2.1.5. Сплойт позволяет выполнять команды на уязвимом сервере... Похожий баг также содержится в phpBB 2. Вот где свобода выбора для хакера, ибо большинство форумов в инете теперь уязвимы! Но я не буду сейчас описывать работу сплойтов или способы взлома, мы поговорим о другом…
Многие, получив доступ к серверу и возможность выполнения команд на нём, банально дефейсят взломанный сайт. Одни это делают из жажды славы, другие из-за незнания что делать дальше… А сделать в такой ситуации можно действительно многое! Можно вообще попытаться порутать сервак и потом использовать его для своих целей… А можно слить все базы данных (далее БД) взломанного сайта, в которой может находиться очень интересная информация, такая как номера кредиток, пароли (о них поговорим чуть позже), е-майлы, и т.п. Тут возникает справедливый вопрос, - как всё это скачать и отфильтровать? Так вот, сейчас мы поговорим о транспортировке и извлечении интересных данных из БД. Рассмотрим два случая: когда на взломанный сервак залит веб-шелл (будет рассмотрено на примере r57shell от тех же RST) и удалённое подключение к БД сервера (на примере mysql.exe).
Ok, Let's Go!
[ Connect & dump ]
Рассмотрим процесс подключения к БД и создания её дампа. Первое что на нужно, это узнать логин:пароль рута базы. Посмотреть эти данные можно в файлах config либо в config_global и т.п. в каталоге взломанного форума. Также там прописан адрес SQL-сервера и прочие его настройки. Теперь рассмотрим коннект к БД. Здесь остановимся подробнее…
Web-Shell (R57shell)
Будем считать что шелл уже залит на взломанный сайт. Подключаемся… В r57shell имеется возможность работы с БД, что очень удобно. В "Выполнении запроса" выбираем: тип: MySQL; SQL-сервер:порт: localhost:3306; Логин:пароль мы узнали из файлов конфигов (кто проспал, смотрит выше…=) ). Это общие на стройки соединения. Далее действуем по обстоятельствам...
Сначала узнаем какие на сервере существуют базы. SQL-запрос: "SHOW DATABASES;". Теперь смотрим интересующую нас БД, или все, по очереди. База: имя заинтересовавшей нас БД, запрос: SELECT * FROM "название таблицы". Конечно же, в поле запроса можно юзать и другие команды SQL.
Теперь, когда выбрали какие таблицы и базы нас интересуют, будем создавать их дамп и писать его в файл. В "Дамп таблицы базы данных" выставляем общие настройки соединения как в предыдущем примере. Затем База. Таблица: название БД и таблицы соответственно; ставим галочку Сохранить в файл [v]: имя файла, он сохраниться в каталог в котором мы сейчас находимся. Всё, дамп таблицы средствами r57shell создан! Лицезреть его можно в текущем каталоге.
Удалённый коннект к БД (Mysql.exe)
Mysql.exe - консольная утилита предназначена специально для коннекта и работы с БД MySQL. Она входит в базовый комплект ДеНВеР'a, виртуального сервера под win-платформу. Скачать ДеНВеР можно с официального сайта. Всем советую! Скачали, идём дальше.
Для начала подключаемся к серваку БД:
mysql.exe -h адрес_сервера_БД -P порт -u Логин -p Пароль
Если всё сделали правильно, сервер радостно поприветствует нас и пригласит к дальнейшей работе с базами. Самое время оглядеться. Смотрим имеющиеся базы:
mysql 'SHOW DATABASES'
Теперь просмотри таблицы:
mysql 'SHOW TABLES' имя базы
А сейчас задампим заинтересовавшие нас базы, для этого юзаем mysqldump:
mysqldump.exe -h адрес_сервера_БД -P порт -u Логин -p Пароль имя_базы > /путь_к_доступному_каталогу/дамп.sql.
Очередная БД задампина!
Самое время всё это добро скачать.
[ Download ]
В r57shell существуют специальные функции для отправки файлов на е-майл, по FTP либо прямая скачка на свой винт (что в данном случае недопустимо, т.к. при этом может засветиться хакерский IP и другие нежелательные данные). Возможно сжатие как *zip для Win, так и *gzip для *NIX, что значительно поможет при транспортировке больших файлов. Думаю здесь проблем возникнуть не должно, т.к. там всё и так интуитивно понятно…
Если же у Вас нет веб-шелла, можно приконнектиться к серверу по FTP. Рекомендую Smart FTP Client, достаточно удобный и функциональный ФТП-клиент. Либо подключиться по SSH. В данном случае, на мой взгляд, лучший SSH-клиент - это PuTTy (его можно скачать с нашего сайта). Остаётся только слить файл-дамп на дружеский сервер, чтобы не светиться лишний раз. На этом мы останавливаться не будем, в инете и так полно подобных мануалов по этой теме.
[ Analysis ]
Ну что, дамп базы скачали, самое время выжать из неё максимум полезной инфы и данных. Первое что нужно сейчас сделать - это восстановить на своём сервере БД из дампа. Если у Вас установлен phpMyAdmin, то это делается импортированием данный из нашего файла-дампа. Тут тоже всё просто.
Можно использовать уже известный нам mysql.exe.
mysql.exe -u Логин -p Пароль < /путь_к_каталогу/дамп.sql.
После завершения процесса импортирования можно приступить к анализу добытой базы.
Смотрим название полей нашей таблицы:
mysql Decs название таблицы
И запоминаем важные для нас поля, например username, password, salt, email. Теперь отделяем интересующие нас поля от остального "мусора":
mysql SELECT username, password, salt, email FROM users
Видим все, что нам нужно. Также можно вывести данные из таблицы в файл. Например, формируем базу е-майлов под спам:
mysql SELECT email FROM users OUTFILE 'mail_DB.txt'
И все мыльники записались в файл mail_DB.txt.
Теперь эту базу, если там достаточно много адресов, можно продать. Есть смысл попробовать пароли к е-майлам или ICQ UIN'ам из соответствующих полей. А возможно получиться завладеть и PayPal-аккаунтом юзверя.
[ Выводы ]
Как видишь, слить базу данных со взломанного сайта не так сложно. А уж если после тщательного анализа окажется, что там есть ценные данные, можно извлечь большую выгоду и/или деньги из взлома, нежели просто дефейс.
Вот и всё что я хотел рассказать. Если появятся вопросы, пишете на нашем форуме в соответствующем разделе. Удачи!
Комментарии
бред сивой кобылы
Кобыло ужо не сивая а дохлая походу. В предсмертной агонии бедняжечка. Жалко животнае. :-)