Надеюсь тему в этот раз опубликуют нормально. И вообще скрою ее под хайд от греха.
[HIDE=10000]
Неоднократно слышал от владельца ресурса twitch-bots.ru насколько их веб-панель уникальна в своем роде, решил провести свое расследование. Каталога программ от Babatools мне оказалось мало, мне захотелось заполучить эту самую волшебную панель. По виду и разговорам владельца сего ресурса видно, что ну не могут они являться разработчиками. Начинаем копать. Поиском уязвимостей я занимался когда-то в далеких 2008-09 годах и максимом через веб-сканером по типу ArxScanSite3 (эх...).
Теперь к сути, вооружившись инструментами с этого форума начал прослушивать сайт этих ребят с twitch-bots.ru, что узнаем... на https зеркале:
Наш русский аналог я сканить перестал, ибо большинство разделов были deny, кто-то из программистов позаботился прикрыть "дырки", но не все.../.svn/ директорию сейчас бы в 2016 не скрыть...эх..привет 2009.
И кстате привет 2009 (как давно это было и привет twitch-viewerbot.com) сайт просто кишил открытыми директориями
Ай да лезем на хабру и качаем SVN Grabber, старый на Питоне но вполне рабочий, сливаем зеркало сайта, граббер впрочем слил почти все файлы кроме sql.php, php слил некорректно - но я хотя бы имел общее представление о структуре сайта и что там лежало.
Забыл упомянуть что CloudFlare меня блочил при граббинге, мне нужно было заполучить настоящий ip сервера, вопрос решился запросом к
и имеем ip ресурса - 91.121.31.21, собственно атака, т.е. граббинг был продолжен напрямую на него.
Тут мои знания заканчиваются, вроде с помощью это граббера я смог слить все файлы которые были прозеркалены в text-base, но я ожидал увидеть исходники php - я огорчен. Нашел кстате очень интересную программу - botinterface.exe, которая лежала в директории
Сама она версии 2.2 и программа ругается, что типа авторизовался, но обновить софт надо, это было выяснено тут -
Ну я хакер-недоучка думаю щас подсмотрю что там в коде, выяснил под чем обфусцирован софт
Нашел деконфусер аж до 0.5 версии , пихнул в dnSpy - ФИГ там, стринги зашифрованы в unicode
Нашел ConfuserExStringDecryptor но он меня отругал типа этого:
Оперировал данной утилитой на Windows 10 x64 для сведения. Дал софтину на разбор iVally, но не ответа ни привета, а результат сильно интересен.
Поехали значит дальше..... к twitchswiss.com к первоисточнику. Защита CloudFlare работает там отлично, 5 запросов в сек - отлетаю в бан, благо провайдер с динамо адресами.
Пингуем товарища на веб-панель, молимся чтобы не выпал адрес Cloudflare и о господи
Ответ от 5.230.5.10: число байт=32 время=44мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=44мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=45мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=46мс TTL=58
Веб-панелька хостится на VPS-ке 5.230.5.10, доступ аля
Теперь пытаемся собрать мозайку
Обращаем внимание на даты - они (на момент написания статьи) одинаковы на 3 ресурсах:
в папке gen как правило хранятся все файлы той бот-панели и обновляется там пара файлов, подглядываем сюда еще на всякий случай
.svn/entries
5.230.5.118 как раз почти рядом где и веб-панель twitchswiss 5.230.5.10.
Внимание вопрос знатокам, где-то есть пробоина на слив хорошей бот-панельки с грабом, чеком прокси и ботами. Как достать все это добро?
[/HIDE]
[HIDE=10000]
Неоднократно слышал от владельца ресурса twitch-bots.ru насколько их веб-панель уникальна в своем роде, решил провести свое расследование. Каталога программ от Babatools мне оказалось мало, мне захотелось заполучить эту самую волшебную панель. По виду и разговорам владельца сего ресурса видно, что ну не могут они являться разработчиками. Начинаем копать. Поиском уязвимостей я занимался когда-то в далеких 2008-09 годах и максимом через веб-сканером по типу ArxScanSite3 (эх...).
Теперь к сути, вооружившись инструментами с этого форума начал прослушивать сайт этих ребят с twitch-bots.ru, что узнаем... на https зеркале:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
обнаруживаем зеркало забугора: twitch-viewerbot.com, хм, у меня как раз подписка на этом сайте есть, прикольно, не суть...копаем дальше, покопавшись в css-файлам обнаруживаю к отсылке к сайту twitchswiss.com - собственно создателям этой бот-панели, об это позже.Наш русский аналог я сканить перестал, ибо большинство разделов были deny, кто-то из программистов позаботился прикрыть "дырки", но не все.../.svn/ директорию сейчас бы в 2016 не скрыть...эх..привет 2009.
И кстате привет 2009 (как давно это было и привет twitch-viewerbot.com) сайт просто кишил открытыми директориями
Ай да лезем на хабру и качаем SVN Grabber, старый на Питоне но вполне рабочий, сливаем зеркало сайта, граббер впрочем слил почти все файлы кроме sql.php, php слил некорректно - но я хотя бы имел общее представление о структуре сайта и что там лежало.
Забыл упомянуть что CloudFlare меня блочил при граббинге, мне нужно было заполучить настоящий ip сервера, вопрос решился запросом к
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
и имеем ip ресурса - 91.121.31.21, собственно атака, т.е. граббинг был продолжен напрямую на него.
Тут мои знания заканчиваются, вроде с помощью это граббера я смог слить все файлы которые были прозеркалены в text-base, но я ожидал увидеть исходники php - я огорчен. Нашел кстате очень интересную программу - botinterface.exe, которая лежала в директории
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Сама она версии 2.2 и программа ругается, что типа авторизовался, но обновить софт надо, это было выяснено тут -
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
что есть 2.95, вот только где - НЕИЗВЕСТНО.Ну я хакер-недоучка думаю щас подсмотрю что там в коде, выяснил под чем обфусцирован софт
Нашел деконфусер аж до 0.5 версии , пихнул в dnSpy - ФИГ там, стринги зашифрованы в unicode
Нашел ConfuserExStringDecryptor но он меня отругал типа этого:
Оперировал данной утилитой на Windows 10 x64 для сведения. Дал софтину на разбор iVally, но не ответа ни привета, а результат сильно интересен.
Поехали значит дальше..... к twitchswiss.com к первоисточнику. Защита CloudFlare работает там отлично, 5 запросов в сек - отлетаю в бан, благо провайдер с динамо адресами.
Пингуем товарища на веб-панель, молимся чтобы не выпал адрес Cloudflare и о господи
Ответ от 5.230.5.10: число байт=32 время=44мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=44мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=45мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=46мс TTL=58
Веб-панелька хостится на VPS-ке 5.230.5.10, доступ аля
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
- не але, стучался по shh - может прокатит root:root - был послан ;(Теперь пытаемся собрать мозайку
Обращаем внимание на даты - они (на момент написания статьи) одинаковы на 3 ресурсах:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
в папке gen как правило хранятся все файлы той бот-панели и обновляется там пара файлов, подглядываем сюда еще на всякий случай
.svn/entries
Код:
10
dir
1
http://5.230.5.118/svn_tvbrepo/gen
http://5.230.5.118/svn_tvbrepo
2015-12-23T13:44:34.984557Z
1
rootВнимание вопрос знатокам, где-то есть пробоина на слив хорошей бот-панельки с грабом, чеком прокси и ботами. Как достать все это добро?
[/HIDE]
Последнее редактирование модератором:
