[Из песочницы] Приёмный день в МИД РФ

Добрый день, господа. День действительно добрый: сегодня* государство стало чуть-чуть ближе к народу, а страна в целом — к идеалу. Ведь что это, как не зарево светлого будущего, если написать чиновнику или даже министру у нас теперь не сложнее, чем отправить email приятелю?

Что случилось?


Сидел, никого не трогал, починял свой asterisk на предмет совместимости с операторским communigate pro. Чего не знал — гуглил, и нагуглил неожиданно форму для логина в корпоративную почту Министерства Иностранных Дел. Эмм…

2925266568df454bbb97306a8ab19ceb.jpg

Хорошо — что не ФСБ. Плохо — неуважение к robots.txt. Но это отдельная тема.

За окном — глубокая ночь, луна и легкий снежок. А на экране — приглашение ко входу и мигающий курсор. Не знаю, наверное, у людей околокомпьютерных специальностей это где-то на уровне рефлексов. Но согласитесь, вы бы на моём месте сделали так же:

227c5b40e172478e94fc8dc0cbfd5bea.jpg

Какая жалость. Однако я настойчивый:

98e9191020454ab8bfe8fa37c2b33245.jpg

Что???

Читающим статью на маленьком экране переведу: пароль не подошёл, но на второй картинке в поле после логина «admin» вдруг нарисовался домен: mid.ru. Не надо быть гением, чтобы понять логику работы страницы и сделать соответствующие выводы. Не радужные выводы, само собой. Для надёжности я проверил имя «postmaster», стандартное для communigate, и получил недвусмысленное свидетельство наличия и такого аккаунта тоже.

Для крупной почтовой компании вроде Яндекса, например, подобный конфуз — это ничего, пшик. Подбрось кубики с алфавитом, набери получившееся слово — и не прогадаешь. Но здесь мы имеем дело с весьма специфической организацией с небольшим количеством ещё более специфических пользователей. Насколько «специфических»? Я не знаю. Честно и добросовестно перепробовал s.lavrov, lavrov_sv и пр. Заветное mid так и не появилось.

Брутфорса не будет, расходимся**


82ff8c94478b4f9bbc2323e8d180aa27.pngЯ человек добропорядочный, да и вообще, перебор в лоб — это примитивно и неэлегантно. К тому же, серьёзный домен должен быть серьёзно защищён. И действительно, некоторая защита наличествует: число соединений в секунду не ограничено, и канал довольно широкий, но после десятка неудачных попыток система не пустит вас даже с правильным паролем. Что, впрочем, не мешает ей упорно подставлять пресловутый mid. Как бы то ни было, нужно располагать запасом времени, а у меня его нет. Генерировать словарь имён/фамилий — тем более. Но всё-таки, мне нужен хотя бы один адрес для дальнейших экспериментов, куда я смогу сообщить о найденной уязвимости. Начнём с трёхзначных, например, aaa. Таких адресов конечно не бывает, но можно будет хотя бы оценить скорость работы скрипта. Остановим скрипт после обнаружения первого действующего аккаунта. Готовы? Пристегнитесь. Это самый реактивный брутфорс в моей, вашей, да и вообще, наверное, в мировой практике.

98d8673b18724e39912a8477518659aa.jpg

Что произошло? Что за странная метаморфоза? Нееет… Вы шутите! Да это же праздник какой-то! В смысле, будь я злобным хак спамером, или инженером человеческих душ aka отчёт_за_февраль.exe… Блин, как-то даже неудобно перед человеком. Простите, A.A. Аnikin, вы всё видели сами, я не нарочно… Пожалуй, надо остановить скрипт. Это слишком. Похоже, такие трёхбуквенные алиасы из первых букв Ф.И. О., саморазворачивающиеся в полную форму перед проверкой, заведены многим ключевым пользователям системы. За несколько минут я нашёл сотрудника НИИ информатики, нашёл эксперта при посольстве в Германии (и откуда у всех такая любовь к linked-in? корпоративный стандарт?). Лаврова не нашёл. Кто знает, может, оно и к лучшему.

Что дальше?


У этой статьи не будет выводов, или нравоучений в конце. Шутки шутками, триумф человеческой лени и всё такое. Но я действительно не знаю, как поступить с этой находкой. И поэтому передаю компетентному сообществу, сиречь, в хаб «Информационная безопасность». Если интересует трудоустройство в НИИ информатики, то теперь вы знаете, куда высылать резюме. Но я всё-таки надеюсь, что у кого-нибудь хватит смелости отправить багрепорт, и как можно скорее. Сам я этого сделать не решаюсь, да и не сильно верю в успех. Хотя чем чёрт не шутит?

*На самом деле 22-го мая 2015 г
**будет!
***Виталий mid, сорян, я не специально :)

© Habrahabr.ru