Black Energy DDoS bot

Тот случай, когда превьюшка к статье интереснее, чем все её содержание...

Пару дней назад слили в открытый доступ исходные коды древнего (практически артефакт) ддос-бота Black Energy. Хотя, будет опрометчивым сказать, что слили именно "пару дней" назад - возможно это произошло существенно раньше. Даже удивительно, если бы слили только пару дней назад. И к тому же, если вы будете читать эту статью спустя некоторое время, слова "пару дней" будут только вводить Вас в заблуждение. В общем. Были получены исходные коды ддос-бота. Как самого бота, так и панели.

Файлов не очень много, даже скорее мало.
Да, думаю что правильнее написать "мало".
В общем, 8 файлов в админке. Хотя, это если считать db.sql, которой скорее всего не будет на сервере, иначе - 7 файлов. Но строго говоря, db.sql это тоже файл, поэтому файлов 8.
Папка www:

На анализ всего этого ушло 20 минут. Хотя возможно я заблуждаюсь, и времени ушло больше. А возможно и меньше. И скорее всего утверждать, что на анализ ушло 20 минут было бы неверным. Ведь 20 минут, это ровно 1200 секунд. А я не засекал время с секундомером. А если бы и засекал, то вряд ли бы уложился ровно в такое время. Да и если бы уложился, то считать ли анализом время, которое я потратил на включение/выключение секундомера? А ведь это минимум секунда-две...

В общем, за неизвестное количество времени были найдены несколько однотипных XSS:

Хотелось бы отметить, что для эксплуатации XSS приходится экранировать одинарные кавычки, чтобы SQL-запрос не поломался. Да, SQL-инъекция тоже есть, но толку от нее нет. Как и от Вас, мой дорогой читатель.

Но ведь надо еще как-то попасть в админку? Да. Надо. Но это довольно сложный вопрос, что на самом деле нам надо, а что нет. В любом случае, по адресу http://bot/auth.php нас встречает суровая формочка и, к превеликому сожалению, желаемый логин/пасс никакими скуль-инжектами не получить:

Однако, давайте переключим наше внимание на код скрипта index.php:

Как Вы уже поняли, а если и не поняли, то... не поняли (железная логика), достаточно поменять ответ сервера с 302 на 200 и можно увидеть код админки:

Вот так все просто.

Как и Вам, мне показалось, что практически никто уже не пользуется этим ботом. Однако, чтобы убедится в этом на 100%, мы попробуем поискать админки с помощью следующих дорков:

Как Вы можете видеть, что-то все-таки нашлось:

Залежи древностей, в количестве четырех штук. После быстрого акта некрофилии проверки выясняем, что в самой интересной админке было всего 19 ботов, да и те давным-давно отправились к дискетным вирусам(праотцам):

Оставляем в админ-панельке доброе послание для следующих поколений археологов (alert('MEET THE GREAT KROBA');).

Еще один бесполезный труд бесполезного медведя закончен.
Желаю Вам всего доброго. В аду Вам все равно пизда.