Ковыряем панель лоадера Andromeda.

Andromeda

Недавно, какой-то белошляпный жидоамерский поц нашел уязвимости в админке андромеды (блог пиндосины). И это единственная причина, по которой вы читаете данную статью. Ибо уже нет смысла что-то скрывать.

Итак, начнем по порядку...

Адрес админки.

По умолчанию, файл админки - adm.php. Файл гейта - gate.php. Их можно (и как вы убедитесь далее, нужно) переименовывать, никаких проблем не будет. Есть еще файл конфига - config.php, его переименовывать без изменений в админке и гейте нельзя.

Простейшая защита от всех перечисленных далее уязвимостей - переименуйте файл админки и не давайте левым людям линк на нее (и тем более логин/пасс).

Есть небольшой риск, если вы продаете загрузки и даете клиентам линк на статистику:

andro001

В таком случае удобно использовать небольшой скрипт-прокладку, чтобы скрыть от клиентов адрес админки (назовите его например stat.php):

В админке андромеды ссылки на статистику по заданиям выглядят следующим образом:
adm.php?pub=#номер_команды#&hash=#хеш#
Копируем все что идет после знака вопроса и отправляем клиентам вот это:
stat.php?pub=#номер_команды#&hash=#хеш#
Все работает - клиенты дрочат на стату, а адрес админки не спален.

CSRF

Path: adm.php?act=set&subact=logindata
Чтобы сменить пароль на админку, не нужно знать старый пароль (токенов и капчи тоже нет):

andro002Эксплойт такой:

Как видите - нужно знать адрес админки. После того, как невнимательный кроберок зашел по ссылочке где лежит этот сплойтик, мы авторизуемся в админке с логином hacker и паролем 31337. И творим непотребства.

PHP code exec

Path:adm.php?act=set&subact=jsave
Допустим, вы получили доступ к админке. Но этого вам мало. Ведь куда веселее и спортивнее залить шелл.
Заходим в настройки. Пишем:

andro003

Как вы наверное догадались, уязвимы все поля.
1. Пишем заливалку шеллов.
2. Заходим в config.php
3. Льем шелл.
4. ???????
5. PROFIT!!!

CSRF + PHP code exec

Path:adm.php?act=set&subact=au
Также мы можем изменить данные для автообновления бота. Что может быть лучше, чем подсунуть билд своего кработроя или пинча? Для этого мы можем заюзать CSRF на все той же странице настроек.
PoC (CSRF + PHP code exec):

Как и с прошлой багой, мы можем залить шелл:

andro004

При этом у нас есть еще вариант:

Или так:

Все по стандарту:
1. Пишем заливалку шеллов.
2. Заходим в config.php
3. Льем шелл.
4. ???????
5. PROFIT!!!

Активная XSS + CSRF.

Path: adm.php?act=tasks&subact=add
Path: adm.php?act=tasks&subact=edit&tid=N
Есть возможность прогрузить всем ботам собственный .exe, поставить/удалить модули, дать команду на обновление/удаление ботов и в качестве десерта атаковать андромедовода хранимой XSS-ской.
PoC:

Также подвержены XSS и другие поля - botid, countryid, buildid:

andro005

Активная XSS

Path: adm.php?act=fg&subact=pshow
Это единственная возможность атаковать админку, не взаимодействуя с ботоводом напрямую (во всех остальных случаях надо как минимум с ним переписываться или управлять его действиями с помощью мысленного гипноза).

Для успешной атаки надо поставить себе бота и пихать js-код в качестве логина (или пароля) ко всем популярным сервисам (paypal, ebay, facebook...). А потом остается только ждать, когда ботовод отпарсит логи (уязвимость именно в парсере логов).

andro006
Еще через бота можно прочитать команды (если повезет) и список процессов за которым надо следить кейлоггеру. Признаюсь честно, я это дело не изучал, кому интересно - статья пиндосины и скрипт пиндосины на питоне. Могу только сказать, что надо активнее использовать черный список и переключатель "прием новых ботов".

PHP code exec

Path: adm.php?act=kl
Заливаем шелл.
Для этого в поле "Include-список процессов" добавляем наш илитный код:
andro007
По старой доброй традиции:

1. Пишем заливалку шеллов.
2. Заходим в config.php
3. Льем старину WSO.
4. ???????
5. PROFIT!!!

Вот и все друзья.

Повторюсь, большинство из вышеперечисленных уязвимостей сложно использовать. Часть уже закрыты, а для других необходимо напрямую взаимодействовать с андромедоводом. Т.е. подложить свинью может криптователь, покупатель загрузок, неблагонадежный партнер и т.д.

Кребсо-рисерчиров можно не боятся.
ОНИ НИХУЯ НЕ ЗДЕЛАЮТ!!!
Разве что статью напишут.

В следующих материалах мы продолжим работать с этим лоадером, но уже в другом ключе - защита, переделка админки, фичи и т.д....

P.S. Я давно пользуюсь лоадером андромеда. Правда, пришлось долго копить - откладывал с мамкиных денег на завтрак, сажал второклашек на пенек и требовал свой законный косарь. Так бы и не накопил, если бы любимый дедулька не отдал мне  пенсию. И я наконец-то купил бота)))))))

Поэтому, когда увидите в очередной раз эту картинку, вы будете знать ее сакральное значение:

deda_andromeda