книги хакеры / журнал хакер / 114_Optimized

Крис Касперски

Наведение

порядка вхаосе атак

оличествотиповлокальных/удаленныхатак,прямоили

Ккосвенносвязанныхсошибкамипереполнения,неуклонно растет.Защитныемеханизмытакженестоятнаместе,но откровеннозапаздывают.Напередовойлиниихакерского

фронтацаритполныйхаос,совершеннонеподдающийсяникакойклассификации.Дыры(счистоформальнойточкизрения)делятсянасемейства, типыиподтипы,нопривнимательноманализевыявляютсяподтипыиз различныхсемейств,описывающиеоднуитужедыру,иклассификация летиткчерту!

Темнеменее,безсистематизациинеобойтись.Невозможнокаждыйраз описыватьвсехарактеристикидырыотначалаидоконца.Янепредлагаю своейсобственнойклассификацииинепридумываюновыхтерминов,а упорядочиваюужесуществующие.Иногда(всилусложившихсяисторичес- кихобстоятельств)—достаточнонелепые,ноставшиеобщепринятыми.

Переполняющиеся буфера

Возможностьиспользованияошибокпереполнениядляхакерскихатак былаосознанаитеоретическиобоснованаещев1972годуДжеймсом

РеализациязащитыадресавозвратавGCCиMSVC

Андерсеном(JamesAnderson),аспустядесятоклет,2ноября1988,впервые опробованавдостопочтенномЧервеМорриса,использовавшемошибку переполнениявUNIX-демонеfinger.Послесокрушительнойэпидемиина хакерскомфронтенаступилонеожиданноезатишье,носконца90хгодовXX векаатакинапереполняющиесябуферавспыхнулисновойсилой,датак вспыхнули,чтоедванепогрузилимирвсредневековуютьму—хорошо,что ниодинизчервейнесодержалвсебедеструктивнойначинки.

Каковажеприродасатаны,скоторымприходитсяиметьдело?Онатакова: локальныебуферанаходятсявстекеиприихпереполнении(традиционное отсутствиепроверкидлиныпередкопированием!)происходитзатирание адресавозвратаизфункции(вместесостальнымибуферами,скалярнымипеременнымииуказателями,встретившимисянапути).Еслитолько функциянегрохнетсяещедосвоегозавершения,топроизойдетпередача управленияпоадресу,записанномуповерхадресавозврата.Произойдет взависимостиот«настроения»хакера,отправляющегопроцессорв «космос»(послучайномуадресу)либовызывающегоshell-код,которыйпо обыкновениюрасположеннепосредственновпереполняющемсябуфере (висключительныхслучаях—где-товдругомместе).Техникапередачи управлениякраткоописанаводноименнойврезке.

Динамическиебуфераразмещаютсявкуче(heap).Сезонеепереполнения открылсястатьей«Once upon a free()»,опубликованной8января2001 годанеизвестнымхакеромв#39номереэлектронногожурналаphrack.

Кстати,соссылкойнаисследовательскуюработуSolar’аDesigner’а, восходящуюк25июля2000годаиописывающуюуязвимостьбиблиотеки glibc-2.2.3.Последняядопускаетпередачууправлениянапроизвольный кодилимодификациюпроизвольныхячеекпамяти(например,указателейнафункции),чтооткрываетпоистинебезграничныевозможностидля атакующего.

Помимостекаикучи,ещеимеетсяисекцияданных,гдерасполагаются статическиебуфера,атакжебольшоеколичествоуказателейнафункции (особенновСи++программахсихтаблицамивиртуальныхфункций).Однакоатакиданноготипабольшогораспространениятакинеполучили.

Хронология технологий защиты стека

Ещевдревнихкомпиляторах,написанныхвэпохуMS-DOS,былапредус- мотренаопция,отвечающаязаконтрольграницбуферов,авx86 процессорывстроенакомандаBOUND,генерирующаяисключениевслучае выходазаграницыбуфера,новсеэтитехнологиипоразнымпричинам осталисьневостребованными.Первое(иглавное)—среднестатистический программистнеосведомленобугрозепереполнения,апроверкаграниц

Состояниестекапослепереполнениялокальногобуфера

увеличиваетразмерыпрограммыитормозитеевыполнение,ктомуже, ошибкупереполнениянадокак-тообрабатывать,иначекомпиляторпросто вызоветфункциюаварийногозавершенияпрограммы.

Дажесегодня,когдапроцессорылетаютсоскоростьюпули,подавляющее большинствопрограммкомпилируютсясотключеннымконтролемграниц буферов.Впрочем,некоторыеязыкипрограммирования(и,впервую очередь,Си/Си++)никакиепроверкинеспасают,посколькуполноценной поддержкимассивоввнихнет,ипрограммистамприходитсяоперировать указателяминабезразмерныеблокипамяти.Какследствие—ошибки переполненияносятхарактерфундаментальнойпроблемы,неимеющей общегорешения.

Разработчикамкомпиляторовприходитсяизвращатьсяиходитьдругой тропой.НекогдапопулярноерасширениедлякомпилятораGCC(ужедавно интегрированноевнего)соскромнымназваниемStack-Guardмодифи- цируетстековыйфреймпутемпомещенияспециального«сторожевого» словапередадресомвозврата(сначалапредставляющегособойконстанту, азатем—случайногенерируемоезначение).Вкодэпилогадобавляет- сяпроверкацелостностисторожевогослованапредметегозатирания хакером.Аналогичнаятехникаиспользуетсяивпоследнихкомпиляторах отMicrosoft—тех,чтоподдерживаютключ/GS,форсирующийпроверку целостностиадресавозврата.

Недостатокподобныхзащитвтом,чтоонизащищаютлишьсамадресвозврата,нонепрепятствуютзатираниюпредшествующихемупеременных. Асредитехчастовстречаютсяуказателинафункции,позволяющиехакеру передаватьуправлениеполюбомуадресу,которомуемутольковздумается.ПоследниеверсииGCCподдерживаютмножестводополнительных расширений,«оборачивающих»буферастраницамипамятисатрибутами NO_ACCESS(всякаяпопыткадоступакнимвызываетисключение),атакже шифрующихуказатели,которыехранятсявпамяти,случайносгенерированнойконстантойпоXOR.Накладныерасходыназащиту(оверхих),конечно,существенновозрастают,ан,вместестем,затрудняетсяисамаатака.К счастью(дляхакеров),подавляющеебольшинствопрограммпоставляются внезащищенномвиде.

Хронология защиты кучи

Борьбаспереполнениемдинамическихбуферовосложняетсяиерархическимобустройствомкучи.Насамомнижнемуровненаходитсябазовый аллокатор,встроенныйвоперационнуюсистему.Прикладныепрограммы обращаютсякнемуредко,предпочитаядействоватьчерезбиблиотечные вызовыконкретногокомпилятора,оптимизированныеподвыделение

Pro-police—расширениедляGCC,защищающееадресвозвратаспеци- альнымсторожевымсловом

небольшихблоковпамяти.Защитакучиоперационнойсистемыбеззащиты библиотеквсехпопулярныхкомпиляторов(какправило,прилинкованных статическимобразом,тоестьтребующихперекомпиляцииужесуществующихпрограмм)ничегонедает.Авотобратноеутверждениеневерно,хотя, есливпрограммеиспользуютсяпрямыевызовыбазовогоаллокатора,а оннезащищен—тоэтоласты(комуласты,акому—радостьоточередной удачносвершившейсяатаки).

Разработчикивсехоперационныхсистем:BSD,Linux,Windowsприлагают нехилыеусилияпозащитебазовогоаллокатораивоздвигаютмногоуров-

невуюлиниюобороны,призваннуюобеспечитьконтрольцелостностикучии недопуститьзатиранияслужебныхструктурданных.MicrosoftотчаяннопропагандируетзащитукучивВисте(впрочем,ужедавнополоманную),забыв отом,чтоэтоникакнепрепятствуетатакам.Апроверкацелостностикучи науровнеRTLконкретныхкомпиляторовнивDELPHI,нивMSVC,нидаже впоследнихверсияхC#должнымобразомтакинереализована,ивсеэто хозяйство(неважно—работающееподW2K,XPилиВистой)атакуетсявлет. БиблиотекаLIBC(стандартнаябиблиотекавмиреLinux/BSD)иGLIBC (стандартнаябиблиотекакомпилятораGCC)защищенанамногосильнее, нохакеровособенновысаживаетто,чтовразличныхверсияхэтихбиблиотекприменяютсяразличныеаллокаторы.Абезточногознаниясхемы размещенияслужебныхструктуркучиеенеатакуешь—влучшемслучае получитсяотказвобслуживании.Написаниеуниверсальныхexploit’ов затрудненоидляудачнойатакинеобходимознатьточнуюверсиюбиблио- теки,используемуюжертвой.Определитьееудаленнонетак-топросто!

Хронология неисполняемого стека/кучи

Запретнаисполнениекодавстеке/куче/сегментеданныхкогда-токазался весьмарадикальнымрешениемпроблемы,гарантирующиммириспокойствие.Авсепотому,чторуководящиеработникинепривыклидумать головой.Нисвоей,ничужой.

Неисполняемыйстек/кучавпервыепоявилсявUNIX-системах,причем довольнодавно.Длядостиженияаналогичногорезультатапарнямиз Microsoftпонадобиласьспециальнаяаппаратнаяподдержкасостороныпроцессоров,котораябылапредоставленасбольшимзапозданием. Проблема(еслиэтоможноназватьпроблемой)втом,чтоUNIX(равнокаки Windows)поддерживаетлинейноеадресноепространство,выделяющеев

распоряжениекаждогопроцесса4Гбвиртуальнойпамяти.Внихразмещаются:кодоперационнойсистемы,кодпрограммы(совсемидинамическимибиблиотеками,секцияданных,стекикуча.

x86 процессорыподдерживаютраздельныеселекторыдлякода,данных истека—каждыйсосвоимиатрибутами,разрешающими(илинераз- решающими)чтение,записьиисполнение,однакодляупрощениякода операционнойсистемыразработчикиWindows«распахнули»селекторы кода/стека/данныхнавсеадресноепространство,присвоивимидентичныелимитыиатрибутызащиты.Такжепоступилииразработчикипервых версийLinux/BSD.

Науровнеотдельныхстраницx86 процессорыподдерживаюттолькодва атрибутазащиты:доступаизаписи,приэтомпонятие«доступа»включаетв себякакчтение,такиисполнение.Вплотьдонедавнеговремениатрибуты чтенияиисполнениябылитождественныдругдругу.

Защитастекаикучиотисполнения,реализованнаянадревнихx86 процессорах(поддерживаютатрибут,«исполняемый»тольконауровнеселекторов)

ПервымиспохватилисьразработчикиLinux/BSD.Они«разнесли»стек/кучу

икодпоразнымконцамадресногопространства,скорректировалилимиты селекторов,врезультатечегостек/кучаоказалисьсовершеннонеисполняемыми.Хакерыконкретноприуныли.Ноирядучестныхпрограмм(например,компиляторам,транслирующимкодвоперативнуюпамять)пришлось либонехилоизвратиться,чтобыпреодолетьпрелестинововведений,либо объявитьзабастовку,какбольшинствоизнихипоступило.

Такчтоподдержкаатрибутанауровнеотдельныхстраницвпоследних версияхx86 процессоров пришласькодворунетолькоWindows,нои Linux/BSD.Нонеуспелиразработчикиопохмелитьсяпослесдачи«защищенного»релиза,какхакерыужеизобрелиатаку,получившуюназвание return2libc.Вобщихчертах,онасводитсякзасылкевстекуказателейна функции,выделяющиеблокпамятисатрибутаминазапись+исполнение

итутжекопирующиевнегоshell-код(спередачейнанегоуправления классическимспособом).Приэтомвстекеоказывалсянекод,аданные

—указателинафункции,замещающиеоригинальныйадресвозврата.И хотявWindowsнетбиблиотекиLIBC,затотаместьKERNEL32.DLLипотому атакаreturn2libcработаетнаурадажеснеисполняемымстеком.

Какводится,первымиотреагировалиразработчикиLinux/BSD(толипьют онименьше,толитрезвеютбыстрее).ПакетPaX(кстатиговоря,портированныйиподWindows)выполняетрандомизациюадресногопространства

(AddressSpaceLayoutRandomizationили,сокращенно,ASLR),размещая стек,кучуисистемныебиблиотекипослучайнымадресам.Витоге,хакер уженеможетпростотакзасунутьвстекуказателинанеобходимыеему функции,ведьихместоположениезаранеенеизвестно!

РазработчикиOpen-BSDпоступилииначе,внедривтехнологиюW^X(что расшифровываетсякак«WXORX»),препятствующуюодновременной установкеатрибутовзаписииисполнения,чтосущественнозатрудняет атаку.Посовестисказать,PaX—круче.Поэтомуспустянекотороевремя коллективOpen-BSDдалемудобро,предоставивпользователювыбор: какуюзащитнуюсистемуиспользовать.ASLR,реализованныйдолжнымобразом,действительно,представляетсерьезноепрепятствиедля атакующих,однако,дажевLinux/BSDчастькритическихструктурданных по-прежнемурасполагаетсяповполнепредсказуемымадресам.Чтоже касаетсяWindows,тоASLRтамподдерживаетсятолько,начинаясВисты,

иреализованнастолькокриво,насколькоэтовозможно.Ктомуже,ранее написанныепрограммысубитойтаблицейперемещаемыхэлементов всегдазагружаютсяпоодномуитомужебазовомуадресуивпринципе неподдаютсярандомизации.Такчто,длязащитыотатакмалоустановить Вистунасвойкомпьютер.Какминимум,требуетсяперекомпилироватьвсе

используемоепрограммноеобеспечение,акакегооткомпилируешь,когда исходныхтекстовнет?

СтарыесредыразработкиDELPHI,VisualBasicвообщенеподдерживают возможностьустановкибитарандомизациии—помимоперекомпиляции

—надсгенерированнымифайлами/динамическимибиблиотекамиеще предстоитпоработатьруками(иголовой)илижеполностьюпереписать проектнаC#.Заманчиваяперспектива,неправдали?Такстоитлиудивляться,чтосущественногосниженияхакерскойактивностиожидатьне приходится,вовсякомслучаенаближайшиегодадва,атам…хакерыснова что-топридумают.

Реализацияатакиreturn2libc,пришедшейизмираUNIX,наWindows-сис- темахснеисполняемымстеком

Целочисленное переполнение

Вбольшинствеязыковпрограммирования(ивязыкеСи,втомчисле) значениевыражения (n + k)дляцелочисленныхтиповвобщемслучае неопределенно—ономожетбытьравноарифметическойсуммеnиk…а можетинебыть!

Присложениидвухбеззнаковыхтиповx86 процессорыдаюткорректный результатлишьдотехпор,покаконечнаясуммаостаетсявпределахразряднойсетки.Впротивномслучаепроцессорвыставляетзнакпереноса,и

мыимеем«заворот»,тоестьUCHAR_MAX + UCHAR_MAX == UCHAR_MAX-1 == FEh.АналогичнымобразомделаобстоятисUINT_MAX.

Авотсознаковымитипамивсегораздоинтереснее.Вx86 процессорах старшийбитчислаиспользуетсядлязаданиязнака(внекоторыхпроцессорахзаэтоотвечаетмладшийбит,норазговорнеоних).На32 разрядных платформахINT_MAX = 2147483647,но(INT_MAX+1) == INT_MIN == -2147483648.Получается,отнаибольшегоположительногодонаимень- шегоотрицательного—одиншаг!Нипроцессор,никомпиляторникакне реагируютнаэтуситуациюи,еслипрограммистнеозаботилсярукотворнымипроверками,программаможетвыдатьвесьманеожиданныйрезультат. Нодальше—ещеинтереснее.Поумолчаниюintпредставляетсобой signed int —знаковыйтип,авотфункцияmalloc,выделяющаяпамять, вкачествеаргумента,задающегоразмерблока,принимаетsize_t, определенныйвзаголовочныхфайлахкакunsigned int(какимножество функцийподобноготипа,включаяmemcpy).

Посмотрим,кчемуприводиттакоенесоответствие.Возьмемследующий (кстатиговоря,широкораспространенный)код:

foo(int len, char *p)

{

char buf[MAX_SIZE];

if (len > MAX_SIZE) return -1; memcpy(buf, p, len);

…

return 1;

}

Чтопроизойдет,есливкачествеlenпередатьотрицательноечисло?Посколькулюбоеотрицательноечислобольшевсякогоположительного(очень умнуюмысльсказал,да?),товыражение(len > MAX_SIZE)окажетсялож-

Состояниестекадопереполнениялокальногобуфера

нымипеременнаяlenблагополучно«докатится»дофункцииmemcpy.Там небольшоеотрицательноезнаковоечислопревратитсявоченьбольшое положительноебеззнаковое(INT_MIN = 80000000h).Именностолько байтпамятибудетскопированофункциейmemcpy.Точнее,онапопыта- етсяихскопировать,нопоскольку80000000h—этополовинаадресного пространства,выделеннаяпроцессу,изкоторойемуреальнодоступноеще меньше,делозакончитсяисключениемтипа«нарушениедоступа»,ихакер получит«всеголишь»отказвобслуживании.

Авотещеодинпримервполнетипичногокода:

bar(int len, char *s)

{

char *p;

p = (char *) malloc(len+1); *(((char*)memcсpy(p,s,0, len))) = 0; return 1;

}

Программист,копирующийстроку,выделяетнаодинбайтбольше,кудаи ставитзавершающийнуль(натотслучай,если*s окажетсябезтакового). Напервыйвзгляд,всеОК.НоесливкачествеlenпередатьUINT_MAX,то придобавлениикнемуединицыфункцияmallocвкачествеаргумента получитнуль!Постандартупопыткавыделенияблоканулевогоразмера являетсявполнедопустимойоперациейифункцияmallocобязанавозвратитьвалидныйуказатель.Техническисоздатьблокнулевогоразмера

впамятиневозможно,поэтомуобычновыделяетсяблокминимально возможногоразмера,которыйтолькоподдерживаетданнаяреализация malloc(что-тооколо16байт).Авотдальше!Дальшефункцияmemcpy попытаетсяскопироватьтудаUINT_MAXбайт(FFFFFFFFh),чтоопять-таки приведеткнарушениюдоступа.

А что насчет захвата управления? Даже в примерах, рассмотренных выше, он вполне возможен, поскольку, прежде чем «врезаться» в невыделенный регион памяти или область памяти, принадлежащую операционной системе (и, естественно, защищенную от записи), функция memcpy имеет хорошие шансы перезаписать обработчики структурных исключений (как правило, хранящиеся в стеке). Тогда при генерации исключения вместо отказа в обслуживании управление подхватит хакерский код!

ВLinux/BSDникакогоSEH’анет(тамдляэтогоиспользуютсясигналы, реализованныесовсеминачеинеподвластныеатаке).ВWindows,начиная сXP,предпринятапопытказащитыSEH-обработчиковотхакерскихдомо- гательствиразвернутакомпанияподназваниемSafeSEH.ВышелServer 2003,Виста,Server2008,аSafeSEHвсеещеулучшаетсяиулучшается,нотак доумаинедоведена!

Еслижесцелочисленнымипеременнымиосуществляютсямахинации

встилеmemcpy(dst, src, x*y+z),чтововсенередкость,тоухакера появляетсяреальнаявозможностьполучитьврезультатепереполнения именноточисло,котороеемунужно.Тоесть,превышающееразмер выделенногобуфера,нонетакоебольшое,чтобы«вылететь»запределы адресногопространства.

Впринципе, некоторые компиляторы (например, GCC) поддерживают специальный ключ, форсирующий проверку на целочисленные переполнения. Но, во-первых, она довольно сильно тормозит (и в случае переполнения опять-таки высаживает на отказ в обслуживании), а

ИллюстрациятехникиJMPESP

во-вторых, от кастинга (явного/неявного преобразования типов) она не спасает. Приведенный пример, с точки зрения компилятора — вполне законное программистское творение, а потому атаки данного типа прекращаться не собираются (к тому же, лишь немногие программисты способны провести надлежащий аудит кода на предмет поиска багов).

Занавес

Разумеется, разновидности атак на этом не заканчиваются и за кадром остались удары по памяти, использование освобожденных буферов, неинициализированные локальные переменные и указатели, неспецифические разрушения памяти, ошибки синхронизации потоков… — малая часть того, что можно использовать для атаки с захватом управления или отказом в обслуживании. В рубрике «Обзор эксплойтов» я планирую планомерно и систематично окучить эту плодородную тему, детально описывая детали технической реализации в разделе full disclose. z

Передача

управления наshell-код

ИллюстрацияNOPSLEDтехники

вконцекоторыхстоиткомандаотносительного(relative)перехода наначалоshell-кода.Онанетребуетзнанияабсолютныхадресов (неизвестныхатакующему).

NOP’ыприэтомоказываютсярасположеныкакдоадресавозврата, такипосле.Естественно,еслиуправлениебудетпередано«вперед», тоцепочкауправления,докатившисьдоадресавозврата,попытается интерпретироватьегокакмашиннуюкомандусовсемивытекающимиотсюдапоследствиямитипанепредсказуемогоповедения. Поэтомупередадресомвозвратавставляетсяещеоднакоманда относительногоперехода.

ДляреализацииNOPSLED-техникихакерудолженбытьизвестен хотябыприблизительныйадресбуферасshell-кодом,аизвестенон далеконевсегда.Чтож,приходитсяприбегатькдругойтехнике,котораяпередаетуправлениенавершинустекачерезкомандуJMPESP,

вx86 процессорахпредставляющуюсобойдвухбайтовуюмашинную инструкциюсопкодомFFhE4h.Всяхитростьвтом,чтобынайтитакуюпоследовательностьбайтвпамятииподсунутьееадреснаместо адресавозвратаизфункции.Тогда,вмоментстягиванияпоследнего состека,регистрESPбудетсмотретьна двойноеслово,следующееза адресомвозврата,гдеможетбытьлибосамshell-код,либокоманда переходакнему.

Еслицелеваяоперационнаясистема(илиатакуемоеприложение)из- вестнасточностьюдоверсии—найтидвухбайтовуюпоследователь- ностьнепроблема.НеобязательноискатьименноJMPESP—FFh E4hвполнеможетбытьичастьюсовсемдругойкоманды,например,

инструкцииCALLDbgPrintсопкодомE8hFFhE4hFEhFFh56h.На машинахснеисполняемымстеком/кучейпоследовательностьFFh E4hнеобходимоискатьтольковкодовыхсекцияхдинамических библиотекилиисполняемомфайлеатакуемогоприложения.Еслиже защитынет(илионаотключена),подойдетиобластьданных.

НасистемахсподдержкойASLRтехниканеработает,поскольку невозможнозаранееопределитьадресискомойпоследовательности.Междутем,еслиатакуемыйисполняемыйфайлнесодержит перемещаемыхэлементов(ачащевсеготакибывает)илиоднаиз егодинамическихбиблиотекимеетсброшенныйбитрандомизации (состояниепоумолчанию),шансынауспешнуюатакумногократно возрастают!

Леонид «R0id» Стройков

/ stroikov@gameland.ru /

Маленький заказ

Веснабылавсамомразгаре.Теплыеднирасполагаликежедневному круглосуточномураспитиюпива,идуматьоработекатегорическинехотелось.Вернувшисьвечеромдомойсочереднойгулянки,яобнаружилвасе сообщениеотсвоегознакомого—предложениенемногоподзаработать. Прикинувнезавидноефинансовоеположение,грядущеелетоиприближающуюсясессию,ятакипереборолленьиотписалтоварищу:«Oк.Жду». Ждатьдолгонепришлось.Ужечерезнесколькоминутменяввеливкурс дела.Сутьзаказабылатакова:клиентаинтересовалзарубежныйшоп,располагающийсяпоадресуhttp://hoffmans.co.za.Отменятребовалосьпредо- ставитьБДзаказови,повозможности,онлайн-доступкпанелиуправления магазином.Чтож,задачаобыденная,посемузаработуяпринялсясразу,но безособогоэнтузиазма.

Первымделомбылорешенопробитьресурсы,располагающиесянатом жесервере,чтоиинтересующийменяшоп.Умершийwww.domainsdb.net несулилничегохорошего,поэтомуязашелнаhttp://gibs0n.name.Вполе «Host information:»вбилурлинтернет-магазина,выбралфункцию «Reverse»инажал<Enter>.Результатпредсталмоемувзоручерезпару секунд.Какоказалось,носерверехостилосьоколосотниресурсов,причем, подавляющеебольшинстводоменовнаходилосьвдоменнойзонеЮАР

—.za.Перебиратьресурсывручнуюабсолютнонехотелось,азапускать сканерпоканеимелосмысла.Открыввбраузереновуювкладку,язашел наhttp://hoffmans.co.zaиначализучатьсайт.Шопкрутилсянаasp-движке

подназваниемVP-ASPShoppingCart.Погулявпогуглу,яоткопалпрошло- годнийэксплойтнамилворме(www.milw0rm.com)—онбылнаписаннеким tracewar’ом:

The SQL Injection bug is in the shopcurrency.asp file under the "cid" query.

quick hack to add user a/a: