ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Нашёл в интернете новый способ взлома сайтов на шаред-хостингах. Как оказалось, уязвимы к нему все серверы на которых Apache работает с mpm-prefork и mpm-worker. Веб-серверы с mpm-itk эта уязвимость не затрагивает. Для эксплуатации уязвимости требуется локальный пользовательский доступ к сайту. Как простой пример: на веб-хостинге имеется пользовательский аккаунт A который хочет получить доступ к файлам пользовательского аккаунта B. Если все воркеры апача работают под пользователем www и имеют доступ в директории всех клиентов, то такой сервер уязвим. На самом деле хостингов работающих с такой конфигурацией апача немало. В основном это старые хостеры с собственной панелью управления.

Суть. Для чтения файлов другого клиента мы создадим .htaccess со следующим содержимым:

При этом в директории, куда мы положим htaccess не должно быть индексной страницы. А теперь фокус: создаём симлинк с /etc/passwd на file.txt. Ну вы поняли, да? Дальше мы просто заходим на http://site.ru/test/ и видим содержимое /etc/passwd. Фишка в том, уязвимый апач будет читать файл с правами пользователя www который имеет доступ много куда, в том числе в директории всех клиентов. Поэтому мы можем создать симлинк, например на /home/victim_client/public_html/wp-config.php и прочитать конфиг вражеского сайта.

Некоторые таким способом обходят CageFS на клоудлинуксе. Этот метод я нагуглил на сайте одной турецкой хак-группы, за что ей почёт и уважуха. Так что всегда используйте mpm-itk на веб-серверах с множеством сайтов. В общем-то это правило известно давно, но вот явного обоснования ему как-то не находилось.