Экскурсия в админку Российской Газеты

By 14 мая 2014 9 марта, 2016 Blog

Алоха %username%! Знаешь про rg.ru? Я, например, не знал. Ну да ладно, слушай что расскажу.
После дружественного взлома Ленты, захотелось посмотреть, а какая самая популярная газета, поэтому я пошёл прямиком на Яндекс Каталог, где меня ждала «Российская Газета», которая красовалась на первом месте самых популярных. Возможно, у меня низкий кругозор, но я её никогда не читал))

«Российская газета» — газета на русском языке, официальный печатный орган Правительства Российской Федерации.

В общем, решил я её «пощупать». Я как обычно, подошёл с разведки и нашёл пару необычных доменов alpha.rg.ru и pub.rg.ru. Домен alpha вызвал ассоциации с доменами для тестирования (alpha, beta, dev) — но там ожидала форма авторизации. Попробовав в неё поломиться — ничего из этого не вышло. Ну да ладно.
А вот на pub.rg.ru лежали какие-то интересные файлики — monitor.php, fs.php, operations.php, ещё одна форма авторизации /personal2/index.php, а остальные ссылки вели на «альфу». В мониторе была бы интересная инфа, но она не подгружалась, а вот недоделанная тестовая форма operations.php сразу вызвала у меня отсутствие доверия. Не беги за биноклем — скрины кликабельны!

 

Тот самый скрипт operations.php

Тот самый скрипт operations.php

 

Сразу начал фаззить формочку, но на вид ничего не менялось и ошибок не лезло, но потом все-таки удалось обнаружить boolean-based sql inj, а ещё дальше — обычную скулю, которая подгружала значения в value

union all select user()

union all select user()

 

Ну офигеть теперь! Дальше по старинке, вытаскиваем пользователей и их пароли, чтобы посмотреть что внутри. Там я обнаружил пользователя «TEST», с таким же именем и, возможно, таким же паролем, только вот он не походил. Пароли оказались DES, немного их побрутив таки подобрал парочку логин\паролей. Но меня не авторизует… Пробую несколько аккаунтов — а сервак посылает и всё тут. И тут я решил затестить логопасы на том самом домене alpha.rg.ru

Валидный пас, однако

Валидный пас, однако

С этого и начинается небольшая экскурсия по админке. И все-таки странный для неё поддомен. Вот во вкладке «мероприятия» можно было забронировать какие-нибудь залы и посмотреть их занятость. Списки юзеров и их ролей изучать уже небыло смысла. Ну раз это новостной портал — можно было создать какую-нибудь интересную новость и разместить на главную, например о долларе и что его цена упадёт на 20% в течении месяца. А лучше статью, где содержится xss вектор! Да, точно. Чтоб другие СМИ копировали и распространяли дальше 🙂

Вот, например, какая-то менюшка по управлению гонорарами.

Тыкнул я на какую-то менюшку короч

Тыкнул я на какую-то менюшку короч

А ещё там был такой раздел как «камеры». Можно было лицезреть на сотрудников и просто мимо проходящих.

Наблюдаем

Наблюдаем

Админка оказалась на удивление большой, куча-куча всяких менюшек и подменюшек. Была заливка файлов, но лить шелл я не стал, хватит уже с неё. Потом я написал в поддержку, мне очень быстро ответили и пофиксили баги. Вот и все довольны. Вердикт: в багбаунти участвовать сложнее и выгоднее, чем ломать новостные сайты ибо их сломить может даже скрипт-кидди. А мне пора завязывать изучать российские СМИ, всё, больше не буду. Ну давай, до скорого 😉

Join the discussion 4 комментария

Leave a Reply