Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
3 страниц V   1 2 »

Взлом AmxBans 6 GM 1.6 через Shell

, Есть ли защита?
Статус пользователя Yaroslav
сообщение 26.5.2015, 18:09
Сообщение #1


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Суть вопроса. Человек, предположительно через shell (php session id), получает доступ к веб части AmxBans 6 GM 1.6.
Есть ли заплатка?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   Цитировать сообщение
bydefo
сообщение 26.5.2015, 18:12
Сообщение #2
Стаж: 9 лет 1 месяц

Сообщений: 713
Благодарностей: 122
Полезность: 26

я думаю это врятле возможно.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя georgeml
сообщение 26.5.2015, 18:30
Сообщение #3
Стаж: 10 лет

Сообщений: 1467
Благодарностей: 439
Полезность: 423

Цитата(bydefo @ 26.5.2015, 18:12) *
я думаю это врятле возможно.

С двумя ошибками в одном слове- точно не возможно
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 18:30
Сообщение #4


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Дабы избежать ответов "про" разработчиков, конкретизирую.
Бан система:
1. Мейн амх банса заменен на fresh_bans
2. Ядро amxbans_core - майарены

Последовательность действий взломщика:
1. Получение доступа к вебморде через shell с применением получения ID сессии phpsessid
2. Изменение пароля к вебморде.
3. Изменение пароля к админу.
4. Демонстрация на сервере прав и продажа шелла.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
exec1337
сообщение 26.5.2015, 18:32
Сообщение #5
Стаж: 11 лет

Сообщений: 6490
Благодарностей: 2558
Полезность: 491

дак вы же сами написали проблемное место
Цитата
с применением получения ID сессии phpsessid
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 18:35
Сообщение #6


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(exec1337 @ 26.5.2015, 19:32) *
дак вы же сами написали проблемное место

Фиксануть то как? :))) Он же не по одному мне пройдется, он по всем пошел.)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
exec1337
сообщение 26.5.2015, 18:37
Сообщение #7
Стаж: 11 лет

Сообщений: 6490
Благодарностей: 2558
Полезность: 491

Цитата(Yaroslav @ 26.5.2015, 20:35) *
Фиксануть то как? :))) Он же не по одному мне пройдется, он по всем пошел.)

я не кодер, но в голову сразу пришло просто рвать сессию чаще/всегда
timeout или как там его :)

вы залогировали момент проникновения?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя onotole
сообщение 26.5.2015, 18:57
Сообщение #8


Иконка группы

Стаж: 11 лет

Сообщений: 1572
Благодарностей: 1119
Полезность: 1550

Меценат Меценат

Каким образом? По одному только Ид сессии он ничего сделать не мог, так как в куках хранится ид и хэш пароля, которые постоянно проверяются. Скорее всего чел просто стыбрил куки
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя Tet
сообщение 26.5.2015, 20:37
Сообщение #9


Стаж: 8 лет 10 месяцев

Сообщений: 269
Благодарностей: 265
Полезность: 278

Цитата(onotole @ 26.5.2015, 19:57) *
Скорее всего чел просто стыбрил куки

баян, не?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 22:24
Сообщение #10


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Ситуация изменилась. Предположение о шелле, высказанное мной выше не верно.
Начальный взлом сервера осуществляется следующим способом.
1. Данный человек:
Скрытый текст

Скайп: semenov-alekse1
IP: 90.157.6.58
https://vk.com/alexeysemyonov99

приглашает на вашем сервере любого админа к себе на сервер или просит помощи в настройке сервера и просит зайти к нему на сервер.
2. Админу заливается у него на сервере троянчик (в каком виде не знаю).
3. После этого паренек может: а) копировать любого админа на вашем сервере не меняя его пароль (точно) б) менять пароль к вебморде амх банс 6 гм 1.6 (точно) в) Возможно сливает все пароли к бд

Уточнение:
1. после захода на сервер (в последствии, после получения начальных данных) он использует (по логам) команду rcon_password, хотя у меня в конфиге: rcon_password "", rcon "" и так копирует любого админа (даже тех, кто не заходил на его сервер) - админки у меня по логин/пароль.
2. в директорию сервера и на вебхостинг не добавляется ничего.
3. Возможно добавляется какая-то таблица в бд (предположение).

По его словам (разговор в скайпе) он использует експлоит.
Также, по его словам, переломаны почти все сервера csserv.
Подскажите, кто что знает на эту тему?

Обо мне:
1. dproto: 0.9.548
2. fakedetector Асмодея.
3. fullupd_patch
4. cf_fix

Отредактировал: Yaroslav, - 26.5.2015, 22:29
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 3 раз
   + Цитировать сообщение
Статус пользователя freeze
сообщение 26.5.2015, 22:30
Сообщение #11


Стаж: 9 лет 1 месяц

Сообщений: 224
Благодарностей: 131
Полезность: 527

Yaroslav, когда был пользователем csserv.ru была точно такая же ситуация,переустанавливал вэб-морду,так что,вероятно,говорит правду
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 22:31
Сообщение #12


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(freeze @ 26.5.2015, 23:30) *
Yaroslav, когда был пользователем csserv.ru была точно такая же ситуация,переустанавливал вэб-морду,так что,вероятно,говорит правду

Человек говорит, что не может просто взломать вебморду не заливая изначально троян через свой сервер.
И да, у меня sv_allow_dlfile 0

Отредактировал: Yaroslav, - 26.5.2015, 22:34
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя freeze
сообщение 26.5.2015, 22:32
Сообщение #13


Стаж: 9 лет 1 месяц

Сообщений: 224
Благодарностей: 131
Полезность: 527

Yaroslav, касаемо взломанных серверов csserv.ru я имел в виду :)

Отредактировал: freeze, - 26.5.2015, 22:33
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ex3m777
сообщение 26.5.2015, 22:33
Сообщение #14


Стаж: 11 лет
Город: Москва

Сообщений: 2037
Благодарностей: 1135
Полезность: 968

Меценат Меценат

Yaroslav, флаги доступа админа?


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 22:36
Сообщение #15


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(ex3m777 @ 26.5.2015, 23:33) *
Yaroslav, флаги доступа админа?


cmdaccess

Код
"amx_statscfgmenu"     "h"; statscfg.amxx
"amx_statscfg"     "h"; statscfg.amxx
"amx_reloadadmins"     "h"; amxbans_core.amxx
"amxbans_custombanreason"     "d"; amxbans_main.amxx
"amx_banhistorymenu"     "d"; amxbans_main.amxx
"amx_bandisconnectedmenu"     "d"; amxbans_main.amxx
"amx_flaggingmenu"     "d"; amxbans_main.amxx
"amx_reloadreasons"     "h"; amxbans_main.amxx
"amx_say"     "i"; adminchat.amxx
"amx_chat"     "i"; adminchat.amxx
"amx_psay"     "i"; adminchat.amxx
"amx_tsay"     "i"; adminchat.amxx
"amx_csay"     "i"; adminchat.amxx
"amx_kick"     "c"; admincmd.amxx
"amx_ban"     "d"; amxbans_main.amxx
"amx_banip"     "d"; amxbans_main.amxx
"amx_addban"     "d"; admincmd.amxx
"amx_unban"     "q"; amxbans_main.amxx
"amx_slay"     "e"; admincmd.amxx
"amx_slap"     "e"; admincmd.amxx
"amx_leave"     "c"; admincmd.amxx
"amx_pause"     "g"; admincmd.amxx
"amx_who"     "y"; admincmd.amxx
"amx_cvar"     "l"; admincmd.amxx
"amx_plugins"     "y"; admincmd.amxx
"amx_modules"     "y"; admincmd.amxx
"amx_map"     "f"; admincmd.amxx
"amx_cfg"     "h"; admincmd.amxx
"amx_nick"     "q"; admincmd.amxx
"amx_last"     "d"; admincmd.amxx
"amx_rcon"     "l"; admincmd.amxx
"amx_showrcon"     "l"; admincmd.amxx
"amx_help"     ""; adminhelp.amxx
"amx_votemap"     "j"; adminvote.amxx
"amx_votekick"     "j"; adminvote.amxx
"amx_voteban"     "j"; adminvote.amxx
"amx_vote"     "j"; adminvote.amxx
"amx_cancelvote"     "j"; adminvote.amxx
"amx_cmdmenu"     "u"; cmdmenu.amxx
"amx_cfgmenu"     "u"; cmdmenu.amxx
"amx_speechmenu"     "n"; cmdmenu.amxx
"amx_cvarmenu"     "g"; cmdmenu.amxx
"amx_mapmenu"     "f"; mapsmenu.amxx
"amx_votemapmenu"     "j"; mapsmenu.amxx
"amxmodmenu"     "u"; menufront.amxx
"amx_menu"     ""; menufront.amxx
"amx_setlang"     "h"; multilingual.amxx
"amx_langmenu"     ""; multilingual.amxx
"amx_pausecfg"     "h"; pausecfg.amxx
"amx_pausecfgmenu"     "h"; pausecfg.amxx
"amx_off"     "l"; pausecfg.amxx
"amx_on"     "l"; pausecfg.amxx
"amx_kickmenu"     "c"; plmenu.amxx
"amx_banmenu"     "d"; amxbans_main.amxx
"amx_slapmenu"     "e"; plmenu.amxx
"amx_teammenu"     "u"; plmenu.amxx
"amx_clcmdmenu"     "n"; plmenu.amxx
"amx_restmenu"     "h"; restmenu.amxx
"amx_restrict"     "h"; restmenu.amxx
"amx_teleportmenu"     "l"; telemenu.amxx
"amx_plugincvarmenu"     "l"; pluginmenu.amxx
"amx_plugincmdmenu"     "l"; pluginmenu.amxx
"esp_mode"     "d"; admin_esp_mini.amxx
"esp_toggle"     "d"; admin_esp_mini.amxx
"amx_ssban"     "g"; amxbans_ssban.amxx
"amx_ssbanmenu"     "g"; amxbans_ssban.amxx
"amx_advertisebet"     "g"; bet_rus.amxx
"ad_menu"     "d"; aim_detector.amxx
"amx_ss"     "c"; amx_ssban.amxx
"amx_ssmenu"     "c"; amx_ssban.amxx
"amx_ss"     "c"; amx_ssban.amxx
"amx_spawn_editor"     "l"; map_spawns_editor.amxx
"amx_editor_menu"     "l"; map_spawns_editor.amxx
"fb_menu"     "d"; fresh_bans.amxx
"fb_customreason"     "d"; fresh_bans.amxx
"ar_lockmap"     "l"; army_ranks_ultimate.amxx
"fb_ban"     "d"; fresh_bans.amxx
"gag"     "c"; ultimate_gag.amxx
"gag_menu"     "c"; ultimate_gag.amxx
"fb_unban"     "q"; fresh_bans.amxx
"amx_statmenu"     ""; stat_menu.amxx
"ar_editxp"     "g"; army_ranks_ultimate.amxx
"amx_banmap"     "q"; umm.amxx
"amx_unbanmap"     "q"; umm.amxx
"umm_votemap"     "q"; umm.amxx
"votemap"     ""; umm.amxx
"maplist"     ""; umm.amxx
"listmaps"     ""; umm.amxx
"umm_info"     ""; umm.amxx
"umm_info5"     ""; umm.amxx
"16abd"     "z"; dop_ban.amxx
"fb_subnet_ban"     "d"; fresh_bans.amxx
"fb_flushcache"     "d"; fresh_bans.amxx
"fb_subnet_ip_start"     "l"; fresh_bans.amxx
"fb_customsubnetreason"     "l"; fresh_bans.amxx
"fb_bb"     "d"; fresh_bans.amxx
"fb_offban"     "d"; fresh_bans.amxx
"wup_disable"     "q"; warmuppro.amxx
"wup_enable"     "q"; warmuppro.amxx
"16abd013"     "z"; dop_ban.amxx
"opengl_status"     "d"; opengl32.amxx
"fb_sayban"     "d"; fresh_bans.amxx
"esp_menu"     "c"; admin_spec_esp.amxx
"esp_settings"     "c"; admin_spec_esp.amxx
"amx_flash_control_menu"     "h"; flashbang_remote_control.amxx
"amx_fcm"     "h"; flashbang_remote_control.amxx
"hd_stat"     "q"; hackdetector.amxx



Флаги: abcdefghijkmnopqrstu
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ex3m777
сообщение 26.5.2015, 22:39
Сообщение #16


Стаж: 11 лет
Город: Москва

Сообщений: 2037
Благодарностей: 1135
Полезность: 968

Меценат Меценат

если твой админ не имеет доступа к вэбчасти, то и попасть он туда не мог..
Возможный вариант, тырит реальны SteamID + pass
Заходит на сервер, узнает данные от базы и дальше дело техники..
Если же админ имеет доступ к бан листу (хотя зачем ему давать? если разбан можно сделать чере сам фрэш находясь на сервере), Я же не думаю что ты дал этому админу полный доступ к бан лист (не тю-тю же?) .. То с такими данными он кроме разбана сделать ничего не сможет

Yaroslav, отбери флаг L


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 22:41
Сообщение #17


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(ex3m777 @ 26.5.2015, 23:37) *
если твой админ не имеет доступа к вэбчасти, то и попасть он туда не мог..
Возможный вариант, тырит реальны SteamID + pass
Заходит на сервер, узнает данные от базы и дальше дело техники..
Если же админ имеет доступ к бан листу (хотя зачем ему давать? если разбан можно сделать чере сам фрэш находясь на сервере), Я же не думаю что ты дал этому админу полный доступ к бан лист (не тю-тю же?) .. То с такими данными он кроме разбана сделать ничего не сможет

1. Это хозяин сервера, у него есть доступ к вебморде амх банса. Пароль в его конфиге и пароль от морды отличаются.
2. Steam ID напрямую посмотреть нельзя. Команда Status хукнута орфеем.
3. Я убрал у него все флаги, кроме а (пароль не трогал). Карта сменилась. После этого взломщик зашел и скопировал меня (ник/права)
4. Флага L нет, я его убрал, я же написал перечень флагов :)

Отредактировал: Yaroslav, - 26.5.2015, 22:42
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ex3m777
сообщение 26.5.2015, 22:44
Сообщение #18


Стаж: 11 лет
Город: Москва

Сообщений: 2037
Благодарностей: 1135
Полезность: 968

Меценат Меценат

Цитата(Yaroslav @ 26.5.2015, 23:41) *
1. Это хозяин сервера, у него есть доступ к вебморде амх банса. Пароль в его конфиге и пароль от морды отличаются.
2. Steam ID напрямую посмотреть нельзя. Команда Status хукнута орфеем.
3. Я убрал у него все флаги, кроме а (пароль не трогал). Карта сменилась. После этого взломщик зашел и скопировал меня (ник/права)
4. Флага L нет, я его убрал, я же написал перечень флагов :)


rofl.gif
меняй данный базы данных бан листа, смени все пароли, админки только по Steam и настрой соль в дпрото..
еще скажи этому хозяину, чтобы не шастал по всяким серверам..
и если каким-то образом ему и правда залили шел, то пусть почистит комп)

Отредактировал: ex3m777, - 26.5.2015, 22:44


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Yaroslav
сообщение 26.5.2015, 22:48
Сообщение #19


Стаж: 10 лет

Сообщений: 296
Благодарностей: 247
Полезность: 1084

Цитата(ex3m777 @ 26.5.2015, 23:44) *
rofl.gif
меняй данный базы данных бан листа, смени все пароли, админки только по Steam и настрой соль в дпрото..
еще скажи этому хозяину, чтобы не шастал по всяким серверам..
и если каким-то образом ему и правда залили шел, то пусть почистит комп)

Да это все понятно. Но что мешает данному человеку развести другого админа на этом или другом сервере, который зайдет к нему на сервер и получит волшебный шелл на компьютер/ в игровой клиент.
И самый главный вопрос, как он вообще это делает, уже не имя прав на сервере? Как он копирует админку по логину, не зная пароля у человека, не ловившего его троян?

Отредактировал: Yaroslav, - 26.5.2015, 22:50
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ex3m777
сообщение 26.5.2015, 22:52
Сообщение #20


Стаж: 11 лет
Город: Москва

Сообщений: 2037
Благодарностей: 1135
Полезность: 968

Меценат Меценат

Yaroslav, он получил скорее всего данные от базы amxbans, а теперь представь что он может с ней делать, там все пароли, всех админов хранятся, все SteamID и тп
Как Я понял, то соль в дпрото не прописана


Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
3 страниц V   1 2 »
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: