Мой первый "хак"!! Фигня, кароче, какая-то.
....
Хотя ето хаком назвать нельзя даже, проще сказать "зашел и все, что нравится, взял".
В общем, дело было так.
Я приехала во вторник после больницы и теперь целыми днями сидела за компом, а вчера вечером один знакомый кинул линк на бажный анимэ-форум (ну ето я его попросила, полазить где-нибудь хотелось, ибо в SQL-инъекциях я не сильна). В общем, ошибку форум выдавал следующую
"Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/virtwww/w_elfen-ru_b7b51195/http/gal/comm.php on line 7"
И на етом моя работа заступорилась.
Забив на етот сайт, у которого и ТИЦа с PRом никакого, я полезла в гугл, тупо вбив туда "Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in"
По полученным ссылкам я попадала сразу на сайты с подобными же ошибками, но все они были какие-то неинтересные. Потом я нашла какой-то гонг-конгский сайт, и, вспомнив, как ето делали хакеры из видео (которые я смотрела), решила там сначала зарегестрироваться, но тут меня ждал облом: мне выдавало, что e-mail забанен о_О
Вскоре мой выбор остановился на сайте http://www.skinbase.org/
Он мне очень понравился дизайном :)
Поняв, что ето какое-то хранилище картинок, фото, скинов, я решила там зарегестрироваться.
http://madnet.name/tools/madss/ выдал мне следующее:
http://skinbase.org
IP: 82.149.22.162 []
ТИЦ: 40
PR: 0
Сервер:
Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13

Я вошла в свой аккаунт под ником Nikit4.
Теперь я тоже могла загружать фотографии с расширениями *.jpg и *.gif
Что я, конечно же, и сделала, загрузив фотку моих любимых цветов:
[699x481]
И тогда же мне в голову пришла "гениальная мысль":
А не попробовать ли загрузить шелл? Может быть, админ не поставил фильтрацию на раширение *.php?
Конечно же, мысль была бредовая, ибо любому понятно, что фильтрацию нужно обязательно ставить, но... Результат меня просто убил!.
Ибо:

[699x481]


Теперь осталось только найти прямой линк к шеллу :)
Ето не составило особого труда: я открыла список всех загруженных мной файлов, и первым делом открыла прямой линк к моей фотке. Остальное было делом техники: в конец линка всего лишь вместо названия фотки надо было добавить название шелла:

[699x481]

И мы на месте:

[699x481]

Затем я залила еще несколько шеллов, но они мне не понравились. Например, недавно выложенный на диске к мартовскому домеру "Xakep"а шелл WSO, как в последствии мы увидим, не коннектил к БД. В етом плане шелл от Madneta оказался более юзабельным.
Что я сделала дальше? Начала тупо искать какие-нибудь файлы с паролями, просматривая различные каталоги (ибо я в етом ни бум-бум).
И не знаю, как уж так получилось, но в каком-то скрипте я нашла строчку, которая включала что-то наподобие "root", "kaplica" (точно уже не помню, даже скрин не сделала), но мне стало ясно, что ето пароль к БД!
Вспомнив, как в одном из видео хакер коннектился к БД, я решила сделать тоже самое. И, чего я совсем уж не ожидала, приконнектиться мне удалось!

[699x481]
И тогда я полезла в databases....
Все лежало в открытом виде:

[699x481]
Только вот одно мне было непонятно: я попыталась зайти на сайт http://www.skinbase.org/ под некоторыми из етих юзеров, но мне постоянно показывало, что пароль неправильный.... Непонятно, в общем, для меня пока ето....
И тогда я решила сделать кое-что другое: в таблицах, кроме логина, пасса, мыла, сайта, были так же номера асек, причем большинство из них 8-знаки (редко встречались 7- и 6-знаки).
Я вновь вспомнила, что иностраныые юзвери недалекого ума, и вполне вероятно, что пасс от аккаунта на сайте и пасс от аськи вполне могут совпадать. Интуиция меня не подвела!!
Через 5-6 попыток я вошла в одну из асек :)
И пошло....
Возможно, алчность во мне взыграла, хз, но стыбрила я себе 22 8-знака и 4 7-знака. Причем выбирала в основном я те, в которых либо совсем пустой контакт-лист, либо 3-8 человека только. А из остальных (в которых контакт-лист полон друзьями) выходила сразу.
В общем, посмотрим, что будет дальше. Если юзвери начнут писать в свои номера асек с посьбой вернуть номер, я верну, а если кто забил болт на свой номер, то я не виновата.... *админ виноват, и сами юзеры %)*
В общем, устав перебирать номера асек, я переключилась на то, как бы себе слить всю базу. Хотя зачем он мне нужен - ХЗ, просто я уж тупо следовала тому, как ето делали хакеры на видео взломов.
А так как я в SQL-командах полный нуб, я обратилась за помощью к одному товрищу с ирк-канала, кинув ему линк на шелл. В общем, он потом дал мне линк на архив базы, который весил 200 с лишним мегабайт. Я его теперь скачала, и после распаковки он стал весить более гигабайта.
И вот тут я опять заступорилась на месте: архив с расширением *.gz (никсовый вроде, да?), и содержал етот архив только один файл вообще без никакого расширения.
Вот теперь я и не знаю, что делать. Товарищ ушел спать, и когда он вернется, буду его снова мучить вопросами, что с етим файлом делать.
Кстати, вот так выглядит шелл WSO (тот, у которого траблы с коннектом к БД):

[699x481]

Вот таким был мой первый "взлом".
Сейчас думаю удалить все шеллы, и отписаться админу-ламеру, чтоб он закрыл ету ошибку.
*реально, даже б я такой ошибки не допустила*



P.S. (добавлено спустя 20 минут):
Я нашла ту директорию, где выложен логин и пасс от БД:
[699x481]