Cómo logré mi segundo trabajo

Desde hace un tiempo que inspirado por el relato del usuario @nanopene tenía en mente redactar alguna que otra cosilla.

-LA BIENVENIDA

Una de las cosas que más perseguía antes en internet eran esas páginas web conocidas como "Pay To" (pt) que pagaban a sus usuarios por hacer cosas como visualizar publicidad durante un determinado tiempo, leer mails de propaganda, etc...


Un día como otro cualquiera, mientras navegaba en un foro inglés de esa temática encontré algo que no había visto nunca antes. Una web que te pagaba por chatear! Me parecía algo imposible, de qué forma sacarían beneficios sus propietarios? Sin dudarlo me registré bajo un nick que usaba para pruebas con pass 123456. Mi intención no era precisamente la de participar siguiendo las reglas.



En cuanto ví el chat, lo comprendí. En ambos laterales había banners de publicidad, que pasados varios minutos se actualizaban de forma automática a fin de generar otra impresión. El chat servía como entretenimiento para mantener a los usuarios en la web el máximo de tiempo posible. Además de vez en cuando también aparecía publicidad entre las líneas que se escribían.

Por cada línea se pagaba 0,001$ y tenías la posibilidad de cobrar más por líneas al upgradear el rango, hecho que como no, costaba dinero. Para rematar la jugada el sistema contaba con referidos, de los cuales trambién podías comprar distintos paquetes.



Pasado un mes chateando (que porcierto sólo se podía en inglés.) a duras penas llegué al 1$ mínimo necesario para cobrar.
Cansado de ello y de los innumerables sueños que de noche me perseguían, mostrándome cifras que podría ganar con un buen número de referidos, me dispuse a planear cómo acceder a la db.

-EL RECONOCIMIENTO

Un análisis visual mostraba que el diseño de la página en comparación al chat era imposible que fuera obra de la misma persona. Uno no hace una maravilla integrada con jquery y ajax y luego termina la página con media tonelada de animaciones flash que ni vienen a cuenta como copos de nieve y altavoces tamaño gigantesco así como un bonito arcoiris de colores en el texto y menús de introducción.
Así que empezé a buscar evidencias del sistema que usaba con tal de encontrar su nombre, y posiblemente código fuente del script.

Gracias a Dios uno de los archivos que cargaba los mensajes tenía un nombre demasiado raro, "blab". Con la ayuda del señor Google encontré y descargué "Blab 5" que por desgracia no contenía vulnerabilidades a excepción de que las plantillas acababan en .html y que por tanto se podían visualizar los cambios realizados por el usuario desde el propio navegador.



Y tachán! Una de ellas (que repito era .html) tenía en su código fuente una llamda a la db la cual incluía los datos de loggeo.

-Señores! Tenemos las llaves! Falta la puerta!

Esta vez no había redirección alguna hacia mysqladmin.

-He llegado hasta aquí para encontrarme con esto? Ni hablar.

Mediante un who.is conocí las DNS así que ya sabía quién alojaba la web. Un poco de dorking en google me llevó hacia el login mysqladmin de todos los clientes del host y probé suerte.

-EL ACCESO

-Vía libre! Ahora falta estructurar el sistema!


Esa noche no pude dormir, no paraba de pensar cómo aprovechar esa vulnerabilidad, no sentía compasión por alguien quién se había demorado 1 semana en pagarme un mísero dólar. Las opciones más directas fueron las de crear una falsa red de referidos, la de vender referidos en el foro inglés que me había llevado hasta tan magnífica web o incluso vender la vulnerabilidad en el mercado negro.

A la mañana siguiente empezé con la primera opción, al conocer el script sabía que había un panel de administración. Allí ví que se revisaba manualmente las líneas que escribían los usuarios y también que se marcaba la realización de pagos.

-Mira tu por donde, puedo autopagarme?

El ver que era algo tan sencillo como un botón me hizo dudar.

-Me redireccionará a PayPal para introducir los datos de login?

Necesitaba ver ese php por dentro. Probé los mismos datos en el ftp que la db pero no. Fuí a la tabla que contenía los usuarios y busqué por los nicks de aquellos que durante mi mes de usuario pasivo habían expulsado gente del chat ante mis ojos.
Todas las contraseñas se encriptaban con MD5 añadiendo antes una variable modificable por el usuario, eso me impedía revisar sus contraseñas.
Dado que la única contraseña que tenía (db) era muy simple (ni tenía números) me pareció obvio que era la de uno de sus admins. Uno por uno fuí tratando de entrar en sus correos (gracias a la db usuarios los tenía) hasta que dí con un Yahoo. En él se conservaba el mail de bienvenida donde se incluía la pass. Tras probarla en el FTP con el nombre de la web como user... ¡Gualá!

Ya tenía bajo mi control el FTP y la DB. Descargué el admin.php que me mostró que el botón sólo hacia un UPDATE en la propia db para mostrar en las stats personales del usuario, que este había recibido el pago.

-Opción espontánea descartada jefe!

Volviendo a mi primera opción, el único problema que le veía era que esa red debía tener mensajes para pasar el control. Revisando el script, cuando se expulsaba a un usuario se le borraba su entrada en la tabla de usuarios, pero no sus mensajes. Así que programé un simple script que revisaba la existencia de la id del usuario y en caso contrario anotaba la id del mensaje en un .txt en el propio host.

Como premio a mi mismo, borré a un usuario que esperaba cobrar, moví sus mensajes y me añadí 2$ a mi cuenta.

Dándole vueltas al tema, llegué a la estúpida conclusión de que si habían sido baneados, era por algún motivo relacionado con sus mensajes. Por lo pronto paré la creación de la red. En su lugar invité a unas cuantas personas a las que dí bonos de 0,5$ por participar en el chat (como refers míos claro.).

Viendo la pasmosa velocidad a la que generaba dinero, digamos.. años luz y pese a que renombré el id_referido de usuarios muy participativos para poner mi id, decidí descartar la opción de la red.



Para disimular yo seguía charlando de vez en cuando y normalmente paseaba por las distintas salas de chat, en busca de admins para controlarlos. Fué entonces cuando me entró cierta paranoia al observar como en una de las salas abandonadas, había dos admins hablando de un extraño incremento de solicitudes de pagos por parte de usuarios jóvenes.
Rápidamente edité la fecha de registro de parte de mi red y alejé a los otros de ser mis referidos. Las consecuencias no se hicieron esperar. Pasados unos días TODOS los que había alejado habían sido borrados del sistema. Temía porque sospecharan de un acceso ilícito así que me encargué de acceder a las cuentas de correo personales y profesionales. Para conocer lo que ellos conocían: NADA.

Continuación:

Durante un mes estuve controlando todos los movimientos que hacían, cambios de plataformas (les expulsaban a menudo pues incitaban a cliquear), envío de cvs (lol), etc..

-EL SUSTO

Finalmente decidí contactar con uno de los administradores para informarle de la vulnerabilidad encontrada y lo que había hecho. Creé otra cuenta Yahoo y agregué al chat la que había podido acceder. Cuando se conectó y le relaté todo, sólo se le ocurrió mandarme un enlace de un periódico rumano en el que hablaban del robo en España de dos sucursales de distintos bancos. Me dijo que mirase el nombre del detenido, era el suyo.
Después de una larga hora de amenazas con romperme las piernas y habla ofensiva (por su parte, yo tan campante, insultar a alguien que en ese mismo instante sabes que sigue teniendo acceso a algo que no has hecho backup no es muy inteligente. Tampoco digo que lo que yo hiciera fuera correcto) el individuo se calmó y procedió a borrar la web entera para arreglar los errores. Lo que al parecer no había entendido era que yo tenía acceso mediante los datos de usuario y no una shell, por lo que seguía teniendo control.
Cuando el chat se restituyó, mi usuario había sido borrado. Eso no me gustó. Me volví a crear la cuenta manteniendo el mismo nick y me puse en contacto esta vez por el chat de la propia web. En privado le comenté que seguía teniendo acceso, que debía cambiar los datos pero él no se lo creía. Le reté a que me pusiera a prueba pero esta vez si borraba mi usuario yo borraría el suyo. De ese modo sólo editó mi balance a 0$ a lo que yo lo edité a 5$. En ese momento me hizo caso.
Poco a poco pude ver como iba perdiendo acceso a las distintas partes, adiós a los correos, al ftp, a la db...

-EL TRABAJO

Tras unos días, el mismo correo Yahoo me mandó un mensaje que tal vez podríamos llegar a un acuerdo, yo entraría como Programador y Community Manager a cambio de un pequeño sueldo. En menos de un mes incorporé nuevas características que hicieron las delicias de la administración, como comandos en el chat, restricción de colores (los únicos con letra roja eran el staff), etc.. Además analizaba todo lo que él subía en búsqueda de XSS, SQLi o lo que fuera.

-CONCLUSIONES

-Siempre que encontréis una vulnerabilidad, reportadla a menos que sea una gran corporación (en este caso es mejor no hacer nada pues aún acabarás mal), la mayoría de los webmasters lo agradecerán.

-En ningún momento apoyo el defacing (algo que nunca he hecho y considero inaceptable) y no recomiendo a nadie aprovecharse de las vulnerabilidades que encuentre por muy beneficiosas que puedan ser.

-Pese a que lo volvería a hacer pues el final depende de cada uno, lo que hice no está bien y puede ser penado por ley aunque en ese caso ellos habrían ido antes pues los sistemas piramidales no son bien vistos digamos... Y la política de borrar a 1/3 de los que piden cobrar sin motivo (no pagar) tampoco.