The Prodigy

Как NetPоint ломанул NetPоint…

Весь вечер вчера ****** себе мозг. Прокручивал в голове различные варианты названия новой фриварной утилитки - ARP Monitor-а, перебирал варианты доменов, обдумывал как это все дело пока выложить в сеть… Короче говоря, устроил такой-себе мозговой штурм, дожидаясь боя Кличко - Ибрагимов по ТВ.

Среди вариантов проскочило: NetPoint ARP Monitor (”НетПоинт” - это моя TM at Ukraine, Zaporizhzhya). Стало интересно что за сайт сейчас по адресу netpоint.com. Захожу:

np-wayport.gif

Ну и фиг, казалось бы, да? Но я на автомате захожу в исходники страницы.  Там вижу, что точка указывает на путь /pp/hs/login.php3. Ок, захожу по ссылке:

np-wayport-login.gif

Хм, уже интересней. :) Пробую логин admin, а в поле пароля вставляю кавычку. Нажимаю [login] - опа. MYSQL ERROR. :))) Не фильтруется ввод, значит! Прописываю простейшую комбинацию символов (не будут их тут писать) - ХОП! И я в контрольной панели какой-то фигни. :) Разные города мира, отели, расписания, биллинг, смс-сервисы. Похоже на биллинговую систему для провайдера, предоставляющего услуги интернет по WiFi.

Для интереса заглянул на web.archive.org, открыл старые “отпечатки” сайта - так и есть. Вот только остается вопрос - рабочая ли это система, или кто-то “поднял бекап”. Но четко ясно одно - в той версии контрольной панели имеется громаднейшая дыра.



Февраль 24th 2008 in Безопасность

8 Responses to “ Как NetPоint ломанул NetPоint… ”

  1. spomoni (N.1) Февраль 24th, 2008 at 18:51 #

    Комбинация с знаками вопросов? Тогда знаю что это такое.

  2. (N.2) Февраль 24th, 2008 at 18:55 #

    Да нет. Такая комбинация, чтобы условие в php коде выполнилось, а остальная часть отбросилась (sql injection).

  3. spomoni (N.3) Февраль 24th, 2008 at 23:51 #

    Аааа, инъекция… Тоже знакомо.

  4. cross (N.4) Февраль 25th, 2008 at 00:55 #

    Интересно, но у меня тоже получилось пробраться во внутрь :)

  5. Сергей Корнилов (N.5) Февраль 25th, 2008 at 04:51 #

    Wayport (http://www.wayport.net/) - очень неслабая контора, через которую, например, предоставляет wifi своим посетителям McDonalds и многие другие.

    Вот тут карта их hot-spots по Штатам:
    http://wayport.know-where.com/wayport/

  6. Темечковый Дятел (N.6) Февраль 25th, 2008 at 05:53 #

    Хакер блин… А у меня на скрваке апдейты не ставятся. Тоже наверное кто-то поломал чего :(

  7. Nesteroff Andrey (N.7) Февраль 25th, 2008 at 20:28 #

    А такое возможно разве?

  8. Cisco (N.8) Март 11th, 2008 at 11:36 #

    Интесная статья. Кстати ссылка на чудо еще живет поданному адресу:

    хттп://npce. netpoint. com

    :)

Ответить в: Как NetPоint ломанул NetPоint…

Contacts: ICQ 116269444, e-mail "kmint21" on server "gmail.com"
Другие посты блога: Кличко - Ибрагимов,     Футбольный фристайл,     Акулы бизнеса - оценка инвестиционных проектов,     Великая тайна воды (документальный фильм) - вода: память, структура и сила,     ARP Monitor - arpwatch for Windows,     ICQ Sniffer, AIM Sniffer,     Вопли Видоплясова,