![ICQ [62610883]](http://blog.air4web.com/bblog/templates/markon/img/icq_status/){kind=small}
Hacking: zneužíváme robots.txt
04.05.2005
Průzkum sítě
Hackování je zajímavé hobby, které vyžaduje pečlivou přípravu a prozkoumávání systémů. Proto jsem si dnes připravil pár ukázek mých oblíbených slabých míst několika známých serverů, jako příklad si vezmeme servery zive.cz, mobilmania.cz atd. V mém měřítku se jedná relativně malé ryby a snadné útoky (oproti bankám, kde je to trochu komplikovanější), takže není nad to než si předvést praktickou ukázku.
K čemu se používá robots.txt
Soubor robots.txt se využívá k tomu, aby zamezil vyhledávacím robotům indexovat různé druhy stránek. V několika bezpečnostních příručkách se proto doporučuje přidat do něj adresy stránek sloužících pro administraci, což je bohužel naprosto "debilní krok". Proč si ukážeme na pár serverech společnosti Computer Press.
Jak to zneužít
Díky tomu, že máme velmi pečlivé správce (díky Cpressu) si můžeme zjistit adresy všech skriptů, které stojí za napadení. Například u většiny serverů jsou to administrační skripty, popřípadě různé utility pro vzdálený import dat, není nad to podívat se, kam jsou tyto data ukládána, vyzkoušíme si třeba server www.cybex.cz.
Zive.cz/robots.txt
Disallow: /123/
Disallow: /Administration/
Disallow: /Article/
Disallow: /AvantGo/
Disallow: /Business/
Disallow: /desktopnews/
Disallow: /Zakaznik/
Disallow: /Zakaznik/Kosik.aspx
Co se nám hodí
Nyní jsme získali adresu administrační stránky zive.cz/administration, kde jsou umístěny relativně zajímavé informace, od jmen všech aktivních autorů, po icq kontakty na šéfredaktory, přes různé zprávy. Jistě, tato informace není sama o sobě zneužitelná, ale později se dozvíme, jak při průzkumu informace spojovat, dolovt z nich data a ty dále využívat.
Indície
V žádném případě nepokládejte takto zjištěné informace za nepodstatné, je to jako hledání pokladu, stačí sledovat jen různé stopy a výsledku se doberete. Základní kontakty a informace vám totiž dovolí stát se hypotetickým členem redakce, který může někoho přesvědčit - i jen po icq, že zapomněl své heslo, a poté vydat libovolný článek.
od Michal Altair Valášek
05.05.2005 #Řekl bych, že hlavní problém není ani tak v robots.txt, jako v tom, že administrace nezalogovanému uživateli ukáže cokoliv jiného, než "zadejte login a heslo".
od houba
05.05.2005 #http://www.pixy.cz/robots.txt
a z toho vyplývá:
http://www.pixy.cz/osobni/foto/
Pochybuju, že toto bylo zamýšleno jako veřejně přístupné - ale třeba jo
od dgx
05.05.2005 #souvislost: http://www.vaclavak.net/...pozor-na-robots.txt.php
od pixy
05.05.2005 #houba > kdyby to bylo tajné, tak to bude tajné. Tohle je prostě jen neprezentované a neodkazované pro veřejnost. A nechápu, proč's vybral zrovna fotku, na který se míhají nějací zedníci... :/
Re: Hacking: zneužíváme robots.txt od autor
29.05.2005 #uznavam, ze robots.txt v ramci napr. zive je absolutne blby napad, ale dalej su domienky nespravne.
nepoznate, ako to tam funguje. Proste robots.txt je uz dost stary a odhaluje prakticky len dajre, quick message si v tom okne neposlete, pokial nie ste prihlaseny, nastenka detto, icq kontakt je iba na spravcov + koderov a na 100% ich nepresvedcite, ze ste XY a nemate passwd.
jedine, co ziskate navstevou administration, je moznost citat si funny things - tie messages