The Prodigy

Как NetPоint ломанул NetPоint…

Весь вечер вчера ****** себе мозг. Прокручивал в голове различные варианты названия новой фриварной утилитки - ARP Monitor-а, перебирал варианты доменов, обдумывал как это все дело пока выложить в сеть… Короче говоря, устроил такой-себе мозговой штурм, дожидаясь боя Кличко - Ибрагимов по ТВ.

Среди вариантов проскочило: NetPoint ARP Monitor (”НетПоинт” - это моя TM at Ukraine, Zaporizhzhya). Стало интересно что за сайт сейчас по адресу netpоint.com. Захожу:

np-wayport.gif

Ну и фиг, казалось бы, да? Но я на автомате захожу в исходники страницы.  Там вижу, что точка указывает на путь /pp/hs/login.php3. Ок, захожу по ссылке:

np-wayport-login.gif

Хм, уже интересней. :) Пробую логин admin, а в поле пароля вставляю кавычку. Нажимаю [login] - опа. MYSQL ERROR. :))) Не фильтруется ввод, значит! Прописываю простейшую комбинацию символов (не будут их тут писать) - ХОП! И я в контрольной панели какой-то фигни. :) Разные города мира, отели, расписания, биллинг, смс-сервисы. Похоже на биллинговую систему для провайдера, предоставляющего услуги интернет по WiFi.

Для интереса заглянул на web.archive.org, открыл старые “отпечатки” сайта - так и есть. Вот только остается вопрос - рабочая ли это система, или кто-то “поднял бекап”. Но четко ясно одно - в той версии контрольной панели имеется громаднейшая дыра.



Февраль 24th 2008 in Безопасность

Комментариев: 10 к записи “Как NetPоint ломанул NetPоint…”

  1. spomoni сказал 24 Фев 2008 at 18:51 #

    Комбинация с знаками вопросов? Тогда знаю что это такое.

  2. сказал 24 Фев 2008 at 18:55 #

    Да нет. Такая комбинация, чтобы условие в php коде выполнилось, а остальная часть отбросилась (sql injection).

  3. spomoni сказал 24 Фев 2008 at 23:51 #

    Аааа, инъекция… Тоже знакомо.

  4. cross сказал 25 Фев 2008 at 00:55 #

    Интересно, но у меня тоже получилось пробраться во внутрь :)

  5. Сергей Корнилов сказал 25 Фев 2008 at 04:51 #

    Wayport (http://www.wayport.net/) - очень неслабая контора, через которую, например, предоставляет wifi своим посетителям McDonalds и многие другие.

    Вот тут карта их hot-spots по Штатам:
    http://wayport.know-where.com/wayport/

  6. Темечковый Дятел сказал 25 Фев 2008 at 05:53 #

    Хакер блин… А у меня на скрваке апдейты не ставятся. Тоже наверное кто-то поломал чего :(

  7. Nesteroff Andrey сказал 25 Фев 2008 at 20:28 #

    А такое возможно разве?

  8. Cisco сказал 11 Мар 2008 at 11:36 #

    Интесная статья. Кстати ссылка на чудо еще живет поданному адресу:

    хттп://npce. netpoint. com

    :)

  9. Герман Клюшин сказал 12 Май 2009 at 15:26 #

    хм… всегда интересовался какой правильный набор символов? например ‘ OR ”=’ не катит :(

  10. Сонник сказал 25 Май 2009 at 08:40 #

    Странно, что все настолько просто оказалось.

Как NetPоint ломанул NetPоint…






   Случайные записи: достопримечательности Москвы, gps навигация
Другие посты блога: Кличко - Ибрагимов,     Футбольный фристайл,     Акулы бизнеса - оценка инвестиционных проектов,     Великая тайна воды (документальный фильм) - вода: память, структура и сила,     ARP Monitor - arpwatch for Windows,     ICQ Sniffer, AIM Sniffer,     Вопли Видоплясова,