Появилось сообщение о том, что сайты www.istd.gsfc.nasa.gov и www.sed.gsfc.nasa.gov подверглись хакерской атаке (в настоящее время оба сайта не ресолвятся). Инцидент начался с того, что на сайте www.sed.gsfc.nasa.gov была обнаружена классическая SQL-инъекция:
Как можно понять по приведенному выше скриншоту в качестве базы данных используется MySQL v.5.x, которая запущена под Windows 2/3k. Права пользователя, по всей видимости, не позволяют работать с файловой системой, но классическая инъекция под 5-м мускулем это всегда очень приятно:) т.к. позволяет легко и просто восстановить всю структуру базы и после, не спеша, дампить содержимое всех таблиц в пространстве СУБД, до которых позволяют дотянуться права на основе таблицы разграничения доступа.
name='more'>
Другая приятная неожиданность для атакующего сайтов NASA заключалась в том, что оба сайта для аутентификации администраторов Web-приложений используют одну таблицу "istd.access", доступ к которой (как минимум на чтение) существовал у пользователя "istdUser@pows002.gsfc.nasa.gov":
Так, атакующий, получив содержимое указанной таблицы, моментально сумел восстановить используемые пароли администраторов сайтов:
Я удивился, что не увидел среди паролей комбинацию "123456":)
Далее банально, авторизация под пользователем "cdutan" и доступ к админке на www.istd.gsfc.nasa.gov:
Детали инцидента можно найти по следующим ссылкам:
- http://tinkode.baywords.com/
- http://news.softpedia.com/
Как можно понять по приведенному выше скриншоту в качестве базы данных используется MySQL v.5.x, которая запущена под Windows 2/3k. Права пользователя, по всей видимости, не позволяют работать с файловой системой, но классическая инъекция под 5-м мускулем это всегда очень приятно:) т.к. позволяет легко и просто восстановить всю структуру базы и после, не спеша, дампить содержимое всех таблиц в пространстве СУБД, до которых позволяют дотянуться права на основе таблицы разграничения доступа.
name='more'>
Другая приятная неожиданность для атакующего сайтов NASA заключалась в том, что оба сайта для аутентификации администраторов Web-приложений используют одну таблицу "istd.access", доступ к которой (как минимум на чтение) существовал у пользователя "istdUser@pows002.gsfc.nasa.gov":
Так, атакующий, получив содержимое указанной таблицы, моментально сумел восстановить используемые пароли администраторов сайтов:
Я удивился, что не увидел среди паролей комбинацию "123456":)
Далее банально, авторизация под пользователем "cdutan" и доступ к админке на www.istd.gsfc.nasa.gov:
Детали инцидента можно найти по следующим ссылкам:
- http://tinkode.baywords.com/
- http://news.softpedia.com/ 
