Х-contest

nikitozz

Хакер, номер #085, стр. 085-081-1

В предновогоднем конкурсе ты решал судьбу Мира. Престарелый Дед Мороз, как ты помнишь, тогда не на шутку увлекся азартными играми. Сидел и целый день играл в казино на http://ired.inins.ru/ko. Нужно было его обанкротить, чтобы играть ему было не на что.

Зарегистрировавшись в казино, несложно было сообразить, что оно реализовано в виде flash-приложения, которое управляется снаружи специальными скриптом. Посниффав трафик, легко было понять: за аутентификацию отвечает скрипт lo.php, а за процесс игры – rou.php.

Половив пакеты по время игры, невозможно было пропустить такой xml-запрос:

<quest>

<bet>

<pole><code>4</code><money>1</money></pole>

<pole><code>15</code><money>1</money></pole>

</bet>

<l>nikita</l>

<sign>9ac520067b88cc29c5c5929825f816b0b00a50c448</sign>

</quest>

Этот текст передавался в переменной bet POST-запросом сценарию. Несложно понять, что в элементе <bet> содержится информация о ставке игрока. В элементе <l> находится его логин, а <sign> содержит какой-то непонятный длинный хэш, подпись запроса.

На сайте казино была ссылка на TOP лучших игроков. В нем с огромным отрывом лидировал неугомонный Дед Мороз. Скрипту передавался параметр i – легко было понять, что это критерий для выборки пользователей. Выбираются все, у кого баланс больше i. Подставив в параметр кавычку, ты бы жестко обламался. Но провести sql-injection все же можно было:

i=1000 union select password,password from users

Как легко заметить, пароли хранятся криптованные, с них снят какой-то хеш. Но он нестандартный – короткий, и как его расшифровывать непонятно. У Деда Мороза был такой хэш: f0f2c33f89.

Посмотрев на хэш собственного пароля и на параметр sign, легко было понять, что последние 10 символов sign полностью совпадают с хешем твоего пароля. Интересно, как генерируются остальные символы? Декомпилировав флеш-приложение, ты мог найти такую строку:

sgn=MD5.calculate(bet)+substring(MD5.calculate(p_pass),0,10);

Ха! Вот и ответ на твой вопрос. Первая часть подписи – это md5 от xml-элемента <bet> со ставками и логином. А вторая, как мы уже поняли, это хэш пароля.

Теперь следи за руками. Мы знаем логин деда мороза. Мы знаем хэш его пароля. Мы можем подделать подпись любого его запроса! В том числе, можем поставить все его деньги на одно единственное поле. После такого розыгрыша с 97% вероятностью Дед Мороз обанкротится.