Ломаем Android-бот Abrvall

Давным-давно мне попался в руки сорц одного андроид-бота. И разумеется, сорц был проанализирован вдоль и поперек.

Автор бота - Conf, ныне в статусе кидалы. Поэтому, ломаем.

Полное описание можете посмотреть на экспе. Говорят, что автор бота умер. Но это не точно. Через день после блека деньги с бтц-кошеля вывели. Ну вы поняли...

Посмотрел я исходники и знаете, был весьма удивлен. Можно, конечно, говорить про XSS да SQL-инъекции (они были, разумеется). Но интереснее другое - в процессе анализа кода, я насчитал больше 20 способов заливки шелла.

В папочке inject лежит добротная кучка инжектов под банки, платежки и соцсети. Рассмотрим кусок кода одного из них (/inject/akbank/verify.php):

Все здесь прекрасно - нет никакой фильтрации и сходу идет запись в файл.
И что еще прекраснее, в 23 папках лежит схожий verify.php с такими же багами:

Если этого мало, то в корне бота есть savephone.php, sendsms.php и comment.php с аналогичными багами (вдобавок надо только подделать реферер). Но вернемся к файлу verify.php. Льем заливалку GET-запросом:

Переходим на заливалку:

Еще пара манипуляций и шелл залит:

Читаем файл config.php в корне, тащим логин/пасс админа, заходим и оставляем доброе послание:

Можно, конечно, сделать что-то менее палевное и куда более веселое, но это уже на ваше усмотрение...