BACKDOOR

- zadními vrátky do členské sekce
originál napsal g0nzo

ÚVOD

Původ backdoorů je jednoduchý, není to nic jiného než část nechráněné URL uvnitř stránky. Pokud chcete backdoors najít na stránkách chráněných AVS nebo na placené stránce a neznáte přesnou strukturu stránek (adresáře) budete pravděpodobně potřebovat heslo, nebo budete muset mít veliké štěstí.

Veškeré zde popsané metody jsou založeny na pokusech a záleží na štěstí a nápadech. Většinou není možné tyto metody automatizovat.

- pomocí internetového vyhledávače

(základy Googlu zde) - mimo jména stránky, zkuste hledat i některé z těchto výrazů:
.jpg
/members/
members/main.html
/secure/
/private/
private/main.html
main.htm
main.html
member.html
members.html
index.htm
index.html
index.shtml

a můžete doufat, že se vám podaří objevit nechráněné místo systému.
Podobně funguje i hledání v kombinaci se jménem modelky, sexuálního aktu, nebo sexuální pomůcky. Šance o proniknutí tímto způsobem jsou velice nízké, ale někdy lze proniknout i tímto způsobem.

Placené stránky

1. "Alchemistovo" pravidlo minimální síly:

Nejprve se pokusíme připojit na do členské části stránek, prostě kliknete na link vedoucí do této sekce. V ojedinělých případech můžete narazit na nechráněné místo a proniknout dovnitř.
Pokud se objeví okénko do kterého máte zadat jméno:heslo, neztrácejte hlavu, klikněte na Enter a v některých případech vás to propustí dovnitř, protože:
1. někdo si zaplatil přistup a heslo nastavil na prázdné polička
2. tento vstup není chráněn heslem
Tato možnost je ovšem velice nepravděpodobná, většinou budete muset heslo zadat - pojďme tedy ke standardním postupům.

2. Použití internetového prohlížeče:

standardní postup je poměrně otrocká práce, můžete si ovšem vybrat dva postupy.
metoda 1: hledání s jedním prohlížečem
tuto metodou použijí ti, kteří mají pouze jeden prohlížeč. Nejprve podle níže uvedeného postupu vyhledáte možné nechráněné stránky.
Tyto tipy si uložíte a potom vymažete historii navštívených stránek, vyprázdníte cache a smažete cookies. Poté začněte testovat možné backdoors.

metoda 2: hledání se dvěma prohlížeči
používání dvou prohlížečů současně umožňuje maximalizovat výkonnosti. Je vhodné v každém prohlížeči používat jinou proxy ( volné public proxy naleznete např. pomocí Google).
Prvním prohlížečem vyhledáváte URLS z členských sekcí a druhým prohlížečem testujete, zda pomocí tohoto URL proniknete dovnitř.
Při tomto způsobu není nutné mazat historii, cache nebo cookies.

3. co hledat ve struktuře adresáře:

Mimo vyhledávání celých adresářů dáváme při zkoušení pozor i na zvláštní záznamy uvnitř adresářů, které mohou prozradit přítomnost dočasných, nebo trvalých backdoorů.
a) "backdoors" jako prémie
Některé placené stránky vytváření "backdoors" na jiné stránky, aby umožnili svým návštěvním navštívit další stránky jako prémii k členství.
Pokud navštívíte stránky jako karasxxx, sweetmembers, cheerleaderchicks atd a objevíte tyto "backdoory" můžete několik hodin surfovat po placených stránkách.
Pokud vstoupíte na stránky http://username:password@www.cheerleaderchicks.com/members/photos/index2.htm sjedete dolů na prémiové stránky Pure Candy Images můžete kliknout na linky od serveru freshwebmastercontent a pomocí těchto dočasných "backdoorů" jste na tyto stránky přesměrováni.
Prohlédněme si tyto linky:
http://ww1.freshwebmastercontent.com/content/pcistandalones/amateur/ffc9civ3vcat6qb/?ssid= 32158ce1a575a84c09a3f0ac7136e12a
http://ww1.freshwebmastercontent.com/content/pcistandalones/bizarre/u9plnd7f0pa3gri/?ssid=32158ce1a575a84c09a3f0ac7136e12a
http://ww1.freshwebmastercontent.com/content/pcistandalones/chocolatecandy/yfxiyzmvymajj13/?ssid=32158ce1a575a84c09a3f0ac7136e12a
http://ww1.freshwebmastercontent.com/content/pcistandalones/hardcore/y0th9v5bqvhvgiw/?ssid=32158ce1a575a84c09a3f0ac7136e12a
http://ww1.freshwebmastercontent.com/content/pcistandalones/teens/790dwzxpl5eoweq/?ssid=32158ce1a575a84c09a3f0ac7136e12a
http://ww1.freshwebmastercontent.com/content/pcistandalones/bigtits/chctst55xkdhae6/?ssid=32158ce1a575a84c09a3f0ac7136e12a
Co přesně je řada znaků na konci linku?
Jedná se o tzv. token, který se buď generuje při každé návštěvě stránky, nebo je vygenerován jednorázově a pletí po určený časový interval.
"?" před tokenem signalizuje, že je používán CGI SCRIPT (neuvedený v daném URLS, pravděpodobně nalinkován z index.html), proměnná "ssid" je hodnota vygenerovaného znaku.
Tento link bude funkční do změny tolkenu nebo aktualizaci linku.

- někdy je tolken současně i adresář : na karasxxx. Po přihlášení jste přesměrování na htttp://members.karasxxx.com/$934698$385fb11d174f49605922009ecd27bb47/private/specialbonus-s.php
$934698$385fb11d174f49605922009ecd27bb47 je tolken, který je generován s každým přístupem a je časově omezen. V okamžiku, kdy systém vygeneruje nový, pozbývá starý platnosti.
Tento typ tolkenu je pro backdoor nepoužitelný, protože při vygenerování nového tolkenu se současně prověřuje i username a password.

další URL vedoucí k backdoor
stránky, které produkují tyto backdoory jsou přátelštější a vytvořené backdoory mají delší platnost.
http://www.hawaiiliveo.com/res/index.asp?ID=62512
http://shared.pinkbits.net/videofeeds/forward.cgi?http://cyberfold.holio.net (funguje pouze s IE)
Jedná se v tomto případě o tolkeny?
Nikoliv, v prvním případě se jedná o číslo skriptu. Tento skript obsahuje číslovaný seznam URL a podle tohoto čísla je návštěvník přesměrován na požadovanou URL.
Ve druhém případě se jedná o přesměrování za adresu uvedenou na konci URL. Při použití je ovšem většinou nutné použít správnou referer adresu (adresa stránky, ze které přicházíte).
Tyto backdoory bývají otevřené stále, a při použití správného postupu, včetně použití spoofingu k podvržení referer adresy, jsou dlouhodobě použitelné.
Nebezpečí hrozí pouze tehdy, pokud bude u těchto backdoorů identifikováno mnoho neoprávněných přístupů z nesprávných adres.

Stránky chránění AVS

I v těchto případech potřebujete ke vstupu heslo. Při průniku můžete použít stejné techniky jako k průniku na placené stránky.
U těchto stránek je velice vhodné znát strukturu adresářů stránek, protože mnoho backdoorů lze odhalit manipulacemi se soubory a adresáři.
př.1: názvy nechráněných adresářů
http://www.pure-filth.com/interracial/split/o/inside4.html
http://www.pure-filth.com/interracial/kingsize/inside.html
http://www.pure-filth.com/interracial/kingsize/inside2.html
př.2: ze znalosti adresářové skupiny je možno odhalit další backdoory.
http!://www.thexxxarchive.com/ax/fat/1/a/xcc.htm
http!://www.thexxxarchive.com/ax/fat/1/c/xcc.htm
pokud narazíte na opakující se sled znaků v adresářích lze dohledat další backdoory.
V tomto případě se opakuje sled "ax/fat/1/".../xcc
lze tedy přidat další kombinace
http!://www.thexxxarchive.com/ax/fat/1/b/xcc.htm
http!://www.thexxxarchive.com/ax/fat/1/d/xcc.htm
http!://www.thexxxarchive.com/ax/fat/1/e/xcc.htm
a t d .

stejně tak lze předpokládat, že se může měnit i číslice
http!://www.thexxxarchive.com/ax/fat/1/b/xcc.htm
http!://www.thexxxarchive.com/ax/fat/2/b/xcc.htm
http!://www.thexxxarchive.com/ax/fat/3/b/xcc.htm

Prostě se vyplatí zkoušet a hledat kombinace.

Manipulace s adresářovou strukturou

manipulací s prvky uvnitř nebo na konci adresáře, se můžeme někdy dostat z volných na placené stránky, nebo se dostat na další části webu.

1. ořezávání podadresářů

jednotlivé části stránky můžou být uloženy v různých adresářích, ořezáváním podadresářů se dostáváme na vyšší úroveň a tím i k dalším podadresářům, ke kterým jste předtím neměli přístup.
Jedná se o metodu pokus - omyl.
Úspěšnost záleží na propracovanosti stránek, např. kontrola refer URL.
př.1:
http://www.privatecontents.com/dd/audition/reya/large/pic1.jpg - adresa obrázku ve volné sekci
http://www.privatecontents.com/dd/audition/reya/ - adresář modelky
http://www.privatecontents.com/dd/audition/ - adresář všech modelek
oddělení dalších části se dostaneme až na adresáře kategorií
http://www.privatecontents.com/dd/audition/
http://www.privatecontents.com/cateens/
http://www.privatecontents.com/celebs/
http://www.privatecontents.com/hiddenvoyeur/
http://www.privatecontents.com/nyhgamma/
http://www.privatecontents.com/fb/
http://www.privatecontents.com/misc/
http://www.privatecontents.com/tit/content/busty/
http://www.privatecontents.com/liveteen3/

př.2: odstranění skriptu a tolkenu
z
http://ww1.freshwebmastercontent.com/c_niche/mature/9jvbb25rk16zsd5/?ssid=5fe8367e428c5daad7b5ccf6e1c1f94a
se dostaneme na
http://ww1.freshwebmastercontent.com/c_niche/mature/
což může někdy poskytnout dočasný backdoor.
Zde je seznam nejobvyklejších adresářů, které mohou tvořit backdoor.
/members/
/secure/
/private/
/content/
/images

B. přidání dalšího podadresáře k adresáři

k adresáři před připojením k členské části zkusíme přidat tyto podadresáře:
members/main.html
private/main.html
main.htm
main.html
member.html
members.html
index.htm
index.html
index.shtml

Jak zachovat funkčnost backdooru?

přístup přes backdoor je nechráněný neautorizovaný přístup, který může být snadno identifikován. Pokud použijete spoofing se správnou referer URL jedná se o semi-oprávněný vstup, tento přístup je systémem povolen. Sice za jiných podmínek, ale systémově je vše OK.
Systém si myslí, že jste přišli ze "spřátelených" stránek a většinou vás nepovažuje za vetřelce :)
A pokud si vedete poznámky lze spoof zprovoznit i po změně referer URL.
Pokud se vám podaří zjisti správnou refer adresu (z odkazu pro přesměrování, z výpisu stránek a pod) použijte spoofer a používejte vytvořený spoof.
Více o tomto problému na - teorie spoofingu.

Spoof bývá kvůli výše uvedeným skutečnostem "trvanlivější" než obyčejný backdoor. Pokud se administrátor dostatečně zručný, backdoor objeví, třeba na základě přihlášení z mnoha IP. Při dobře provedeném spoof, toto riziko skoro nehrozí. Ale i tak bych se přimlouval při zveřejňování spoofů, backdoorů nebo hesel i o zveřejnění IP (veřejné proxy) což by hlavně u hesel a backdoorů prodloužilo životnost.

Shrnutí - přehled klíčových bodů:

1. hledání se dvěma prohlížeči maximalizuje výkonnost
2. sledujte zdroje uvnitř adresářů , které ukazují na přítomnost backdoorů
3. pamatuje si nechráněná místa na serverech a v adresářích - postě si veďte poznámky
4. experimentujte s ubíráním a přidáváním částí adresářů
5. používejte spoofing pro prodloužení životnosti backdoorů

To je zatím vše ZPĚT