Огляд адмінки ботнета Dirt Jumper v5 - The_invulnerable

Щоб одразу охарактеризувати мою думку про ботнет і безпосередньо про happy-hack, згадайте переклад словаdirt:

ботнета

Почнемо із самого початку.

Як я дізнався з приводу цієї адмінки? В одному чаті в вік дуже довіряють усім, хто в ньому знаходиться, фанатіють від ддоса і все ще не вивчили жодного ЯП. І в правду - а сенс, якщо всі дудос програми можна завантажити в інтернеті?

ботнета

Безпосереднє вивчення адмінки

Перше, що я знайшов - xss в полі мети ддос атаки. XSS активна. Можливо повністю сховати її так, щоб ніхто не міг помітити її.

огляд

Але це ще не все!

Тепер подивимося вихідний код

Почнемо з файлу index.php:

І версія красивіша:

адмінки

Спочатку йде підключення модулів.

Далі перевіряють POST параметр k який відповідає за підключення ботів до адмінки.

Після цього йде записування робота в базу даних.

О,SQL INSERT injectionу параметрі k, який не спромоглися профільтрувати! Це вже цікаво =)

dirt

Файл 404.php

Не досконально його розбиратиму, скажу лише, що він імітує 404 сторінку.

огляд

Єдина каверза була в тому, що особисто я не помітив, що файл більше, ніж я побачив, тк на 163 рядку пізніше, дивуючись, чому програма працювала не так, як я очікував, знайшов закриття лапки і її примусове завершення:

Файл admin.php та config.php

Покопавшись в інших виконуваних файлах, зрозумів, що admin.php відповідає за управління ботами з веб форми (хоч би саркастично це не звучало).

Вихідник файлу admin.php я виклав на http://pastebin.com/a2GP4deh

Також дізнався, як генеруються куки:

І найголовніше - що все url,які ми вписуємо у віконце з XSS (дивіться першу знайдену вразливість), зберігаються без фільтрації саме у файлimg.gif!!

огляд

А тепер згадуємо, що цей файл у нас инклудится==запускается в кінці файла index.php! Отже ми робимо таке:

1) У віконце з XSS відсилаємо php код, наприклад:

3) Тепер йдемо на index.php і, відіславши на нього POST запит з не порожнім параметром, наприклад k = 123 (якщо k не порожній, то ми уникаємо файлу 404.php і, отже, завершення програми до потрібного рядка)

4) Profit! У результаті ми бачимо phpinfo, і отже RCE (Remote Code Execution – віддалене виконання довільного коду)!

огляд

Підведемо підсумки:

1. Знайдено активну XSS 2. Знайдено SQL INSERT INJECTION 3. Знайдено віддалене виконання довільного коду. 4. Завантаження файлу поточних цілей ддоса та інших атак.

З усього цього можна дійти невтішного висновку:

Зрештою, їхній сайт я протестував, повідомив їм, що у них у веб панелі є вразливості, на що мені було висловлено: "нам ця адмінка не потрібна". Сумно, що досі їх чат не замислюється над дрібницями, з яких складається вся інформаційна безпека.

Удачі та дякую за приділений час!

огляд
завантажити dle 10.5фільми безкоштовно