Twitch бот-панель народу. Обсуждение Дубль 2

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

fortek

Продавец

fortek

Продавец
29 Апр 2016
247
69
Надеюсь тему в этот раз опубликуют нормально. И вообще скрою ее под хайд от греха.

[HIDE=10000]
Неоднократно слышал от владельца ресурса twitch-bots.ru насколько их веб-панель уникальна в своем роде, решил провести свое расследование. Каталога программ от Babatools мне оказалось мало, мне захотелось заполучить эту самую волшебную панель. По виду и разговорам владельца сего ресурса видно, что ну не могут они являться разработчиками. Начинаем копать. Поиском уязвимостей я занимался когда-то в далеких 2008-09 годах и максимом через веб-сканером по типу ArxScanSite3 (эх...).

Теперь к сути, вооружившись инструментами с этого форума начал прослушивать сайт этих ребят с twitch-bots.ru, что узнаем... на https зеркале:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
обнаруживаем зеркало забугора: twitch-viewerbot.com, хм, у меня как раз подписка на этом сайте есть, прикольно, не суть...копаем дальше, покопавшись в css-файлам обнаруживаю к отсылке к сайту twitchswiss.com - собственно создателям этой бот-панели, об это позже.

Наш русский аналог я сканить перестал, ибо большинство разделов были deny, кто-то из программистов позаботился прикрыть "дырки", но не все.../.svn/ директорию сейчас бы в 2016 не скрыть...эх..привет 2009.

И кстате привет 2009 (как давно это было и привет twitch-viewerbot.com) сайт просто кишил открытыми директориями

69daa7d1bff7685efcc10a8d0c99ec5f.jpg

Ай да лезем на хабру и качаем SVN Grabber, старый на Питоне но вполне рабочий, сливаем зеркало сайта, граббер впрочем слил почти все файлы кроме sql.php, php слил некорректно - но я хотя бы имел общее представление о структуре сайта и что там лежало.

Забыл упомянуть что CloudFlare меня блочил при граббинге, мне нужно было заполучить настоящий ip сервера, вопрос решился запросом к
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

и имеем ip ресурса - 91.121.31.21, собственно атака, т.е. граббинг был продолжен напрямую на него.

Тут мои знания заканчиваются, вроде с помощью это граббера я смог слить все файлы которые были прозеркалены в text-base, но я ожидал увидеть исходники php - я огорчен. Нашел кстате очень интересную программу - botinterface.exe, которая лежала в директории
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


8af72a32a13443c480507db5e1a0a38d.jpg

Сама она версии 2.2 и программа ругается, что типа авторизовался, но обновить софт надо, это было выяснено тут -
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
что есть 2.95, вот только где - НЕИЗВЕСТНО.

Ну я хакер-недоучка думаю щас подсмотрю что там в коде, выяснил под чем обфусцирован софт

706f1d7ff90f41060d37892706f633d0.jpg

Нашел деконфусер аж до 0.5 версии , пихнул в dnSpy - ФИГ там, стринги зашифрованы в unicode

e1950289b09b22313ae238275ad47f07.jpg

Нашел ConfuserExStringDecryptor но он меня отругал типа этого:

32fe6b28895379154c57a7b668589ba7.jpg

Оперировал данной утилитой на Windows 10 x64 для сведения. Дал софтину на разбор iVally, но не ответа ни привета, а результат сильно интересен.

Поехали значит дальше..... к twitchswiss.com к первоисточнику. Защита CloudFlare работает там отлично, 5 запросов в сек - отлетаю в бан, благо провайдер с динамо адресами.

Пингуем товарища на веб-панель, молимся чтобы не выпал адрес Cloudflare и о господи

Ответ от 5.230.5.10: число байт=32 время=44мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=44мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=45мс TTL=58
Ответ от 5.230.5.10: число байт=32 время=46мс TTL=58

Веб-панелька хостится на VPS-ке 5.230.5.10, доступ аля
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
- не але, стучался по shh - может прокатит root:root - был послан ;(

Теперь пытаемся собрать мозайку

91e83e77772f7a0d24b7b60f600b7b91.jpg

Обращаем внимание на даты - они (на момент написания статьи) одинаковы на 3 ресурсах:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


в папке gen как правило хранятся все файлы той бот-панели и обновляется там пара файлов, подглядываем сюда еще на всякий случай

.svn/entries

Код:
10

dir
1
http://5.230.5.118/svn_tvbrepo/gen
http://5.230.5.118/svn_tvbrepo



2015-12-23T13:44:34.984557Z
1
root
5.230.5.118 как раз почти рядом где и веб-панель twitchswiss 5.230.5.10.

Внимание вопрос знатокам, где-то есть пробоина на слив хорошей бот-панельки с грабом, чеком прокси и ботами. Как достать все это добро?
[/HIDE]
 
Последнее редактирование модератором:
  • Лайк
Reactions: joduska

fortek

Продавец

fortek

Продавец
29 Апр 2016
247
69
Стоит добавить что сайт на вордпресе(частично насколько я понимаю) при этом кусок юзает twig.
Версия twid
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
Twitchbuddy тоже есть такой ресурс, я до него не дошел, а так да, twig - это своего рода какого шаблонизатора. C WordPress мало работал и толком мало что знаю.
 

fortek

Продавец

fortek

Продавец
29 Апр 2016
247
69
Нашел еще одну уязвимость, но чтобы ее реализовать нужно решение. К примеру имеем URL:

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


Нужен список этих url в текстовом формате где 00000 будет вплоть до 99999. Через что быстрее можно это сделать?
 

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
Нашел еще одну уязвимость, но чтобы ее реализовать нужно решение. К примеру имеем URL:

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


Нужен список этих url в текстовом формате где 00000 будет вплоть до 99999. Через что быстрее можно это сделать?
тебе нужно знать азы программирования :(
кресты
int i;
for (i=0; i<=99999; i++) {
//
}

Или паскаль
var i: integer;
-----
for i:=0 to 99999 do
begin
//
end;

Думаю, последнее будет тебе более понятным
 
  • Лайк
Reactions: stifler and fortek

fortek

Продавец

fortek

Продавец
29 Апр 2016
247
69
тебе нужно знать азы программирования :(
кресты
int i;
for (i=0; i<=99999; i++) {
//
}

Или паскаль
var i: integer;
-----
for i:=0 to 99999 do
begin
//
end;

Думаю, последнее будет тебе более понятным
Спасибо за наводку, вопрос быстрее решил с заполнением данных в Excel и сохранением в формат csv, где собственно в notepad++ избавился от разделителей, делов на 3 минуты. После ночи голова не соображает, надо высыпаться))
 

fortek

Продавец

fortek

Продавец
29 Апр 2016
247
69
Теперь немного сложнее, нужен сервис или программа которая чекнет порядка 100000 url на наличие информации на странице, а не выдаст 200-ый отклик что url живой

з.ы.: нашел xenu, пыхтит
 
Последнее редактирование модератором:

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
Теперь немного сложнее, нужен сервис или программа которая чекнет порядка 100000 url на наличие информации на странице, а не выдаст 200-ый отклик что url живой

з.ы.: нашел xenu, пыхтит
опять же - программирование :D
Твой вариант с экселем и нотепадом для меня сложней, чем то, что я сказал.

Так и не понял, искать что-то определенное нужно или отклик проверять?
 

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
А, уже нашел :(
 

fortek

Продавец

fortek

Продавец
29 Апр 2016
247
69
Софт хорошо зашифрован, валли смотрел уже, там значения стрингов были мусорного /u204b и т.д., декодеры молчат, после деобфуса стринги превращаются в числовые значения по типу 064567u.
Проблему предлагаю решить следующим образом - вооружаемся снифером, делаем образ сайта из svn-мусора, ставим денвер, сайт прописываем в файле hosts как 127.0.0.1. Первый запрос программа шлет на getToken.php где сверяется со значением #1399. Опыт с эмуляцией прошел отлично, программа отругалась на версию, но если в геттокене прописать по типу #1398 - программа закроется с ошибкой.
--- Пост обновлен ---
Можно конечно сделать без эмуляции сервера, но у меня опыта по перехвату и отправке нужных значений маловато, т.к. там hex-код фигурирует
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя