Авторизация  
TEXHO

Black Energy DDoS Bot [2017]

В теме 1 сообщение

rZb5B3riTlmPIkOJUef6nw.png

 

Тот случай, когда превьюшка к статье интереснее, чем все её содержание...

 

Пару дней назад слили в открытый доступ исходные коды древнего (практически артефакт) ддос-бота Black Energy. Хотя, будет опрометчивым сказать, что слили именно "пару дней" назад - возможно это произошло существенно раньше. Даже удивительно, если бы слили только пару дней назад. И к тому же, если вы будете читать эту статью спустя некоторое время, слова "пару дней" будут только вводить Вас в заблуждение. В общем. Были получены исходные коды ддос-бота. Как самого бота, так и панели.

 

Файлов не очень много, даже скорее мало.

Да, думаю что правильнее написать "мало".

В общем, 8 файлов в админке. Хотя, это если считать db.sql, которой скорее всего не будет на сервере, иначе - 7 файлов. Но строго говоря, db.sql это тоже файл, поэтому файлов 8.

Папка www:

 

0CSfqoOmRTqFXsZRv_W9HQ.png

 

На анализ всего этого ушло 20 минут. Хотя возможно я заблуждаюсь, и времени ушло больше. А возможно и меньше. И скорее всего утверждать, что на анализ ушло 20 минут было бы неверным. Ведь 20 минут, это ровно 1200 секунд. А я не засекал время с секундомером. А если бы и засекал, то вряд ли бы уложился ровно в такое время. Да и если бы уложился, то считать ли анализом время, которое я потратил на включение/выключение секундомера? А ведь это минимум секунда-две...

 

В общем, за неизвестное количество времени были найдены несколько однотипных XSS:

 

bQOFgUp2Sli8xcPuzqIQvw.png

 

Хотелось бы отметить, что для эксплуатации XSS приходится экранировать одинарные кавычки, чтобы SQL-запрос не поломался. Да, SQL-инъекция тоже есть, но толку от нее нет. Как и от Вас, мой дорогой читатель.

 

Code:
'><script>alert(document.cookie)</script>
Но ведь надо еще как-то попасть в админку? Да. Надо. Но это довольно сложный вопрос, что на самом деле нам надо, а что нет. В любом случае, по адресу http://bot/auth.php нас встречает суровая формочка и, к превеликому сожалению, желаемый логин/пасс никакими скуль-инжектами не получить:

 

Oo-leJ1MRemzlwu9BU3fYQ.png

 

Однако, давайте переключим наше внимание на код скрипта index.php:

 

Code:
<?php   error_reporting(E_ALL ^ E_NOTICE);   session_start();  if (!isset($_SESSION['auth'])) header("location: auth.php");   require_once "config.php";  require_once "MySQL.php"; //И Т.Д. И Т.П.
Как Вы уже поняли, а если и не поняли, то... не поняли (железная логика), достаточно поменять ответ сервера с 302 на 200 и можно увидеть код админки:

 

vNAqJAPiQ7C2h3QfkfF8JQ.png

 

Вот так все просто.

 

Как и Вам, мне показалось, что практически никто уже не пользуется этим ботом. Однако, чтобы убедится в этом на 100%, мы попробуем поискать админки с помощью следующих дорков:

 

intitle:":: Botnet control" intext:"Auth please"

intitle:":: Botnet control" intext:"login:"

Как Вы можете видеть, что-то все-таки нашлось:

 

asdyfL6ERs2Snk7GZx-eEg.png

 

Залежи древностей, в количестве четырех штук. После быстрого акта "некрофилии" проверки выясняем, что в самой интересной админке было всего 19 ботов, да и те давным-давно отправились к дискетным вирусам(праотцам):

 

28HtUgsPQC6wOGhRgvjJlA.png

 

Оставляем в админ-панельке доброе послание для следующих поколений археологов (alert('MEET THE GREAT KROBA').

 

Еще один бесполезный труд бесполезного медведя закончен.

Желаю Вам всего доброго. В аду Вам все равно пизда.

 

© r00t

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация