Smoke Bot — Уводим ботов за пару затяжек

smoked001

Добрый день, дамы и господа, сегодня мы будем ломать Smoke Bot Loader. Продукт весьма популярный и на рынке уже достаточно длительное время, и, как мне кажется, от этого будет только интереснее...

Затяжка первая. SQL-injection и Активная XSS.

В первую очередь, был изучен гейт. Насколько я понял, автор подразумевал, что раз данные, поступающие в админку от бота, будут зашифрованы с помощью rc4, то можно и опустить некоторые проверки. И зря.

После недолгих поисков был найден уязвимый к SQL-инъекции код:

В свою очередь, данные из колонки cname при выводе в админке никак не фильтровались, а это означало, что можно было объединить SQL-инъекцию и XSS.

Код эксплоита (2 запроса в гейт и активная XSS уже в панели):

Размещаем на подконтрольном ресурсе файл с именем 12 (можно варьировать длину файла, главное чтобы длина строки, идущей в cname была 40 символов) и содержащий внутри банальный код:

И результат:

smoked002

Теперь, попробуем получить хоть-какой то профит.

Затяжка вторая. CSRF и угон ботов.

К сожалению для входа использовалась basic-авторизация, и поэтому просто угнать куки и зайти под админом не получилось бы (XST - редкость, файл с phpinfo и прочие подобные - тоже не всегда получается найти). Поэтому, для того, чтобы получить хоть какой-то профит с найденной нами уязвимости, мы попробуем угнать водокачку пачку ботов. Обновим наш файл 12:

Теперь, после посещения админом страницы с ботами, в задания добавится новый таск:

smoked003

Боты грузят наш exe, а после его запуска смоке-бот самоудаляется - гениальная комбинация, блестяще проведенная до конца! И все что нужно знать для атаки - это только адрес до гейта.

Окурки и пепел.

К слову, поле comment в разделе tasks тоже уязвимо для XSS. И хотя я и не смотрел специально код,  который относится к модулям (стилер, формграббер, ддос и т.д.), но все равно успел между делом найти парочку XSS (например, в части относящейся к ddos).

Ну а если версия пыха на серваке совсем старая, то можно и конфиг прочитать:

Код который позволяет это сделать:

Но это стоит рассматривать всерьез, только если у вас есть машина времени, и можно вернутся в то золотое время, когда нуллбайт не был редкостью.

Fin.

Как вы могли увидеть (если, конечно, действительно читали текст, написанный выше), даже продукты, которые находятся в продаже аж с 2011 года могут быть уязвимы. А это значит, что нельзя доверять никому. Остается только смириться с тем, что вам суждено жить в мире назойливого маркетинга, фальшивых друзей и пустых обещаний. Вокруг ложь и обман, Бог давно умер, а все мы - лишь бессмысленная материя, миллиарды лет назад сотканная из сверхновых звезд, которая в итоге навсегда исчезнет в многочисленных черных дырах, которые будут расти до тех пор, пока не поглотят все сущее в этой вселенной, а затем медленно растворятся, испуская пучки фотонов. И не останется ничего.

И даже тот факт, что у вас увели всех ботов будет уже не так важен.
Подумаешь. Боты какие-то, блядь.