Криптолокер Radamant

Буквально пару дней назад, стучится мне какой-то наркоман в жаббер. Говорит, мол есть у него улетная спайсуха с новейшей формулой. И формула настолько крутая, что чтобы упороться, не надо даже курить эту спайсуху, а надо только скачать файл с ней и два раза по нему кликнуть.

Ну я и кликнул два раза.

В общем... Прогрузили мне криптолокер, редиректнули на лендинг, где на ломаном немецком написали, что если админку на баги не проверишь, то кабздец всем твоим файлам:

loker001

А мне есть что терять... Пришлось проверять.

Телепатическим сигналом мне были переданы логин/пароль в админку и ссылка на сендспейс с исходниками панели. Зашел:

loker002

Осмотрелся. Список жертв безумца, отсортированный по странам:

loker003

Список расширений файлов, который будут зашифрованы (всего - чуть больше тысячи):

loker005Список ботов:

loker006

Инфа по отдельной жертве:

loker007

Общая статистика (к слову, могли бы объеденить с Home):

loker008

И наконец, настройки:

loker004

Сразу привлекло внимание то, что для того, чтобы задать новый пароль, не нужно знать старый. Проверил - токенов никаких нет. Налицо СЫКА CSRF с возможностью смены пароля админа.

Накидал Poc:

Тем же способом можно сменить кошелек для выплат или произвести манипуляции с ботами (удалить бота, расшифровать файлы, сменить ключ и т.д.).

После этого прогнал весь код регулярками. SQL-инъекций, LFI/RFI, RCE, манипуляций с файлами - всего этого нет.

UPDATE. Мой фейл, проглядел sql-инъекцию (https://infoarmor.com/wp-content/uploads/2016/03/The-Rise-and-Fall-of-Radamant-FINAL.pdf). Помню, что смотрел на ту же самую функцию... Лохпидр.

Full Path Disclosure (вывод в ошибке):

На этих страницах бесконечный редирект:

Еще я не понял, что это такое:

loker009

Должно быть планировалась партнерка, но ее либо не дописали, либо решили не писать. Увидеть можно это дело, если убрать все параметры из URL. Сохраняет непойми куда (http://radamant/profile/save/ - 404).

Вот и все.

P.S. Я уверен, что к моменту публикации статьи все баги будут исправлены, а ключ для расшифровки моей восьмидесятитерабайтной коллекции порнухи с карликами-осьминогами в костюмах из кожи гомо-эмо-школьников, играющих в CS с кривыми читами, которые им написал быдлокодер-аутист Анатолий, четвертый год лечащийся от алкоголизма внутривенными инъекциями мытищинского метамфетамина все таки будет получен.