メール

 

レンタル*KのPassの抜きかたの話。

*Kの作者のページに行くと、各種掲示板のスクリプトがダウンロードできるよね。
で、当然設置方法の説明書もあるから、まずはまとめてそれらを入手。
(勿論*Kに限らず、どこでも使える手)
それでディレクトリ構造と、データログのファイル名の「ディフォルト」の名前が分かる。

で、もしレンタル*K掲示板を見つけたら、そのディレクトリがあるかを探すんだよ。ものぐさな管理者だとディレクトリが丸見えの時もあるから、そういう時は簡単。
もし、ディレクトリが発見出来たら目当てのアカウントの掲示板のログを探す。
この時403エラーで中を見れなくても、目的の掲示板のアカウント名が分かっていれば構わない。

ログを発見出来たらその1行目の最後に暗号化されたパスワードがあるから、それをJohnなどで解析すればOK。

じゃ、例として・・・・・・

http://www.hoge.com/cgi-bin/mkres2.cgi?moemoe
って言う掲示板があったとする。
この場合、ファイル名から*KRES2の掲示板だと分かる。(もしくは、掲示板右下の著作権の署名を見れば分かるよね)

*KRES2の場合、データファイルは「../mkres2u」に格納されているから(入手した説明書を参照)、まず
http://www.hoge.com/mkres2u/
を探す。
ここでディレクトリが丸出しだと、べろべろっと多数のファイル名が表示される。
403エラーで見られなくても取りあえず先に行く。
で、問題のファイルはそのディレクトリのアカウントの先頭に「as」をつけたテキストファイルだから、この場合
http://www.hoge.com/mkres2u/asmoemoe.txt
となる。

もしパスワードが入ってなかったら、基本設定のファイルが別にあるという事になる。この場合、アカウントの先頭に「da」がつくテキストファイルとなる。
http://www.hoge.com/mkres2u/damoemoe.txt

つまり、パスワードは「../mkres2u」の「asアカウント名.txt」か、「daアカウント名.txt」と言う事。

**************

基本的にはこんな感じ。*KBOARDでも*KRESでも、ディフォルトでは「asアカウント名.txt」か、「daアカウント名.txt」なんだよね。

ただしあくまでもディフォルトでの話だから、ディレクトリ名を変えていたり、階層を変えていたり、ファイル自体にパーミッションをかけていたりするから、そういう時はいろいろディレクトリ名を変えて試してみてね。
あ、ファイル自体にパーミッションをかけていたら駄目か。(^^;;

また、*KBOARD(*KRESじゃなくて)の場合は掲示板のあるディレクトリにデータファイルがあることが結構ある。

http://www.hoge.com/cgi-bin/mkboard.cgi?moemoe
だったら
http://www.hoge.com/cgi-bin/asmoemoe.txt
とか。

その他、ディレクトリ名をちょっとずつ変えたり、場所をずらして探すのも有効。

http://www.hoge.com/cgi-bin/mkres2.cgi?moemoe
だと、
http://www.hoge.com/cgi-bin/mkres2u/
http://www.hoge.com/cgi-bin/mkres2/
http://www.hoge.com/cgi-bin/mkres/
http://www.hoge.com/cgi-bin/mk/
http://www.hoge.com/mkres2u/
http://www.hoge.com/mkres2/
http://www.hoge.com/mkres/
http://www.hoge.com/mk/
などなど。

では実例(すべてアカウントを「hoge」とした場合)

http://*****.to/bbs/hoge.html
    http://*****.to/bbs/ashoge.txt

http://*******.to/bbs/hoge.html
    http://*******.to/bbs/ashoge.txt

http://*****.net/freebbs/mkres2.cgi?hoge
    http://*****.net/mkres2u/dahoge.txt(パスなどの設定ファイル)
    http://*****.net/mkres2u/ashoge.txt(ログファイル)

http://*********.to/~sin/bbs4/mkboard2.cgi?hoge
    http://*********.to/~sin/bbs4/gagaga/ashoge.txt

http://***.***.**.**/free4/bbs/cgi-bin/mkboard.cgi?hoge
    http://***.***.**.**/free4/bbs/bbsd3141/ashoge.txt

http://*****.*******.ne.jp/~***/resuser/hoge.html
    http://*****.*******.ne.jp/~***/resuser/ashoge.txt

http://www.******.co.jp/bbs/mkb/hoge.html
    http://www.******.co.jp/bbs/mkb/ashoge.txt

これらは*KBOARD・*KRES 掲示板だが、レンタル掲示板でうちらでもソースが手に入るものとしていろいろある。

http://www.****-web.com/が出している「M*S PRO」の場合。

http://www.hoge.com/mbs/bbs.cgi?room=hoge だとすると
    http://www.hoge.com/mbs/user/hoge.dat がパスのある設定ファイル
    http://www.hoge.com/mbs/user/hoge.log がログ

Mini*BSをリリースしている「*ットサーフレスキュー」が出している「*ULTI STATION BOARD」(*SB)の場合。

http://www.hoge.com/msb/bbs.cgi?0001 だとすると
    http://www.hoge.com/msb/data/0001.idx が設定ファイル(パスはない)
    http://www.hoge.com/msb/data/0001.dat がパスも入ったログ

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

個人の掲示板の場合

レンタル掲示板を使わず、自分のバイダでcgiを使えるところはそれを利用していることもある。
一応原則的にはパスワードを暗号化してデータファイルに保存しているものでないとパス抜きは出来ない。

例えばパスファイルを作るタイプとして

Mini*BSのVer7.9〜
    ほとんどが同じディレクトリのminibbs.dat、もしくは
./data/minibbs.dat。新しいものはdat.cgi、./data/dat.cgi。

http://www.hoge.com/moemoe/cgi-bin/minibbs.cgi だと
    http://www.hoge.com/moemoe/cgi-bin/minibbs.dat か
    http://www.hoge.com/moemoe/cgi-bin/data/minibbs.dat

WWW*BS(mini*bsと同じレスキューがリリースしているツリー型掲示板)
    www.cgiがディフォルト。パスはmaster.pwdと言う専用ファイル

http://www.hoge.com/moemoe/cgi-bin/minibbs.cgi だと
    http://www.hoge.com/moemoe/cgi-bin/master.pwd

*KRes(個人用の物)
    res.cgiがディフォルトの名前。データはres.txt、res2.txtと分けてある。res.txtにログ、res2.txtにパス入りの環境設定。

http://www.hoge.com/moemoe/cgi-bin/res.cgi だと
  http://www.hoge.com/moemoe/cgi-bin/res2.txt

などがある。これらの掲示板で名前を変えてもデータファイルの名前を変える場合、CGIと同じ名前に変える場合の2種類がほとんど。

minibbs.cgiをhogebbs.cgiと名前を変えていたら
minibbs.dat
hogebbs.dat
のどちらか。一般だとそれ以外に変える人は滅多に見ないな。経験上。UGじゃ当たり前なんだけどね。

その他パスをcgiに直接書き込むタイプは、p*tit board、t*ote、sp *oardなどなど腐るほどあるけど、全体の割合から言って 個人向けの掲示板はcgiの中に直接書きこむタイプがほとんど。理由として考えられるのは

  • 個人利用なのでパスワードの変更を滅多にしないだろう、と言う考え
  • 変更する場合でも、管理者が直接FTPなどでアップロード出来る環境だからcgi
    の上書き更新ですむ。たいした負担にならない。
  • cgiに直接書き込めば、一般利用者では覗く事が出来ない。

じゃないかな?ま、同じ鯖にアカウントを持っていれば 覗ける場合もあるけどね。

ただしICQでも言ったけど、パスファイルが覗けなかったり、cgiに直接書き込むタイプの掲示板でも 管理者のパスワードを抜く事が可能な場合がある。

まず、今ではまずないだろうが、一部のヘボい鯖だと
http://www.hoge.com/cgi-bin/minibbs.cgi という掲示板の場合
http://www.hoge.com/cgi-bin/minibbs.cgi/
と最後に「/」を付け足すだけで そのソースが見れる事もある。これは鯖の設定のミス。というかバグ?

次に、*ール板など管理者が書き込む時管理用パスを入力するような場合。****板もカール板だけど、管理者の書き込みだと「master」って表示して偽者と区別出来るでしょ?あれは 書き込みの時に、削除用パスに管理用パスを入力するんだよ。

で、その場合、パスファイル(ちなみに*ール板のディフォルトは「pass.txt」)は見つけられないがログファイルを見つける事が出来たら、それをよ〜く調べる。

管理者の発言に暗号化されたパスを見つけたら、それが管理用パスになる。
ちなみに*ール板のデータファイルはディフォルトで「che.dat」「kako.dat」(これは過去ログ用に別に作ってある)、またバージョンの古い*ール板は「minibbs.dat」・・・・だと思った。

ただし*ール板以外の場合、管理者が投稿する時 投稿用のパスワードを使って管理パスと区別している事もある。滅多にないけどね。

さっき
> 同じ鯖にアカウントを持っていれば 覗ける場合もあるけどね。
と言ったけど、同じ鯖にアカウントを持っていれば力わざで覗けちゃう事もある。

cgiを使うんだけど、例えばVirtualAveの15号機に覗きたい掲示板があって、自分も15号機にアカウントがあれば、簡単なスクリプトでその掲示板のソースを見る事が出来る。
ただしこの場合、その掲示板のパーミッションが「755」、ディレクトリも「 755」などとグループ(2番目の数字)が許可されていなければ駄目。
だから「705」や「700」でcgiが動く場合は、それを推奨するわけなんだよね。
ま、VirtualAveみたいにUGの人間が多いところだと大体「705」「700」ディレクトリは「701」だけど、普通のプロバイダを使っている人は「755」にしている人が多い。

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

長々と書いたけど、やっぱいろいろな掲示板のソースを実際見て、出来ればローカル等で試して その特性を研究するのが一番!
てっとり早くやるなら、攻撃したい掲示板の右下には大体作成元のリンクがあるから、そこに行って掲示板の構成をつかむことだよね。

おいらの場合、目に付いた掲示板は必ずソースをダウソするし、新しいバージョンが出たのに気が付けば同じ掲示板でもソースを入手するようにしているよ。若干の仕様の変更とかあるし、どこが変更になったかすぐに分かるからね。
で、それぞれのreadme.txtなど掲示板の構造が分かるテキストをまとめて専用のフォルダにおいて、すぐに見れるようにしている。
こうしておけば 急な場合にもすぐに対応出来るし分かりやすい。

 

written by 2代目怒羅絵悶