Pull to refresh

un1c0rn, «Google для уязвимостей»

Reading time 2 min
Views 25K
На хабре уже появлялись статьи о незащищенных инстансах mongodb и непропатченных openssl с heartbleed.
Проект un1c0rn решил не мелочиться и сделать целый «поисковик уязвимостей», в статье на Motherboard.vice.com un1c0rn даже назвали «Google-ом для уязвимостей».



UPDATE 17.06.14 — un1c0rn стал платным! Теперь для доступа к результатым эксплойтов они просят перевести на их кошелек сумму не менее 0,01 BTC
Warning:
Only part of the leaked data is available.
Send your contribution to… (> 0.01 BTC) to unlock the full leak.



Принцип работы похож на Shodan: робот сканирует определенные порты для всех IP адресов (на данный момент более 62 тыс. около 59 000), но в отличии от shodan еще и запускает набор эксплойтов, и что самое странное, публикует результаты в открытом виде на сайте.

Авторы статьи утверждают что если ввести в строку поиска «credit card» и покопаться в результатах можно найти много интересного.

«Покопаться» надо основательно, так как поиск оставляет желать лучшего (нельзя например фильтровать по одному IP или диапазону). Я сам, если честно, дальше просмотра результатов не пошёл, но то, что увидел, похоже на достаточно опасную информацию, в особенности в уязвимостях типа heartbleed.

Например
un1c0rn.net/?module=hosts&action=detail&ip=168.144.27.186
— heartbleed — 8443 | b6j8
95c3166d6a53d23026887c1f8c; locale=en-US; psaContext=dashboard; BarExpanded=True
u5hM]
D=ce1a9195c3166d6a53d23026887c1f8c; locale=en-US; psaContext=dashboard
697178f7e7fa0c2863fb8f0886d9f04e/referer/branding-77-manage.myhosting.com/activated_by_mouse_click/true/nodeid/plesk_vps_main
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
login_name=admin&passwd=Chicken1234&locale=en-US&locale_id=en-US&login_locale=en-US…

Или

un1c0rn.net/?module=hosts&action=detail&ip=212.186.117.162

— heartbleed — 443 | =RV>
yiNC
fFG>
Aog,C
r: 212.186.117.162/themes/pfsense_ng/login.css
Cookie: PHPSESSID=d5754d40720b50293753aeb61fc78954; cookie_test=1401391652
Connection: keep-alive
If-Modified-Since: Fri, 12 Apr 2013 14:31:46 GMT
If-None-Match: «4079480975»
%3Aed9e87ca72211055016df7735239f480bc83f0c1%2C1397210984&usernamefld=admin&passwordfld=khk%2326%239020&login=Login
rjXp~

UPDATE- Пароль в открытом виде практически у всех систем с pfSense — поиск строки &usernamefld=admin&passwordfld дает страшные результаты
Tags:
Hubs:
+49
Comments 29
Comments Comments 29

Articles