Перейти к содержанию


Последние сообщения:

  Схема заработка, от 200$ в день. (121) от RUBI  
  Ищу срочно ботнет с хвнц Windows (1) от Boldman  
  Ищу трафик, серый арбитраж (1) от Amnesty  
  Ищу работу скам (1) от 2dmx  
  CashApp btc+vcc =80$ (1) от Miki-666  

Последние темы:

  Ищу срочно ботнет с хвнц Windows (1) от Boldman  
  Ищу трафик, серый арбитраж (1) от Amnesty  
  Ищу работу скам (1) от 2dmx  
  CashApp btc+vcc =80$ (1) от Miki-666  
  911 S5 proxy (1) от Kokoroco  
Авторизация  
TEXHO

Black Energy DDoS Bot [2017]

В теме 1 сообщение

Тот случай, когда превьюшка к статье интереснее, чем все её содержание...

Пару дней назад слили в открытый доступ исходные коды древнего (практически артефакт) ддос-бота Black Energy. Хотя, будет опрометчивым сказать, что слили именно "пару дней" назад - возможно это произошло существенно раньше. Даже удивительно, если бы слили только пару дней назад. И к тому же, если вы будете читать эту статью спустя некоторое время, слова "пару дней" будут только вводить Вас в заблуждение. В общем. Были получены исходные коды ддос-бота. Как самого бота, так и панели.

Файлов не очень много, даже скорее мало.
Да, думаю что правильнее написать "мало".
В общем, 8 файлов в админке. Хотя, это если считать db.sql, которой скорее всего не будет на сервере, иначе - 7 файлов. Но строго говоря, db.sql это тоже файл, поэтому файлов 8.
Папка www:



На анализ всего этого ушло 20 минут. Хотя возможно я заблуждаюсь, и времени ушло больше. А возможно и меньше. И скорее всего утверждать, что на анализ ушло 20 минут было бы неверным. Ведь 20 минут, это ровно 1200 секунд. А я не засекал время с секундомером. А если бы и засекал, то вряд ли бы уложился ровно в такое время. Да и если бы уложился, то считать ли анализом время, которое я потратил на включение/выключение секундомера? А ведь это минимум секунда-две...

В общем, за неизвестное количество времени были найдены несколько однотипных XSS:



Хотелось бы отметить, что для эксплуатации XSS приходится экранировать одинарные кавычки, чтобы SQL-запрос не поломался. Да, SQL-инъекция тоже есть, но толку от нее нет. Как и от Вас, мой дорогой читатель.


Code:

\'><script>alert(document.cookie)</script>
Но ведь надо еще как-то попасть в админку? Да. Надо. Но это довольно сложный вопрос, что на самом деле нам надо, а что нет. В любом случае, по адресу http://bot/auth.php нас встречает суровая формочка и, к превеликому сожалению, желаемый логин/пасс никакими скуль-инжектами не получить:



Однако, давайте переключим наше внимание на код скрипта index.php:


Code:
<?php

error_reporting(E_ALL ^ E_NOTICE);

session_start();
if (!isset($_SESSION['auth'])) header("location: auth.php");

require_once "config.php";
require_once "MySQL.php";

//И Т.Д. И Т.П.
Как Вы уже поняли, а если и не поняли, то... не поняли (железная логика), достаточно поменять ответ сервера с 302 на 200 и можно увидеть код админки:



Вот так все просто.

Как и Вам, мне показалось, что практически никто уже не пользуется этим ботом. Однако, чтобы убедится в этом на 100%, мы попробуем поискать админки с помощью следующих дорков:





Как Вы можете видеть, что-то все-таки нашлось:



Залежи древностей, в количестве четырех штук. После быстрого акта "некрофилии" проверки выясняем, что в самой интересной админке было всего 19 ботов, да и те давным-давно отправились к дискетным вирусам(праотцам):



Оставляем в админ-панельке доброе послание для следующих поколений археологов (alert('MEET THE GREAT KROBA').

Еще один бесполезный труд бесполезного медведя закончен.
Желаю Вам всего доброго. В аду Вам все равно пизда.


© r00t

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×