XenForo.Начало пути.

[Антоха]

Недавно NIN@ подняла тему у Ганыча на форуме (Олег ты знаешь про кого я).Смысл был в том,что она скачала стиль на неизвестном сайте и опасалась,что он мог быть с "дыркой".Проконсультировалась у Ганыча,он сказал,что не стоит заморачиваться ,что вряд ли кто будет стараться для создания лазейки в стиле,вот в плагине другое дело....
Решил провести эксперимент.А может ли человек без знания языков веб-программирования получить доступ к чужому сайту через стиль.
Для начала взял здесь шелл,что я недавно принёс.Распаковал и мой НОД сразу завопил:

Глянул на ВТ (8/57):

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Ну ладно подумал я и пошёл к Нине на один её сайтег,где был размещён скрипт обфускатора.Вставил кодес скрипта в окошко и для интереса жмакнул кнопку "Отчёт анализатора".Ответ обфускатора:

Ндаа...могут быть ошибки после обфускации скрипта,но всё же попробуем...Результат получился не совсем фудный

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

,но я ведь и не игрался с настройкой обфускатора (главное,что мой авер заткнулся).Теперь нам нужна приманка:)Тут взял,что было под рукой-стиль Flat Awesome Dark.Далее переименовал файлик шелла в styles.php (здесь фантазии не хватило) и закинул в одну из папок стиля.Теперича можно идти и выкладывать это добро у Ганыча на каком-нибудь форуме (желательно где нет дотошливых админов).Вот здесь есть конечно один нюанс...я ведь не узнаю кто скачал мой стиль и где его установил,но думаю если покурить немного маны можно добавить в наш сюрприз и отсылку айпи сайта жертвы к нам .Идём дальше.
Теперь я в роли жертвы.Заливаю файлы стиля на фтп,устанавливаю и радуюсь красивому стилю,не подозревая,что по адресу мой сайт.ру/styles/flatawesomedark/xenforo/styles.php находится небольшая подляна.
Что делает злоумышленник: переходит по этому адресочку и видит дверцу на наш фтп
[HIDE=10]http://xenforoone.esy.es/styles/flatawesomedark/xenforo/styles.php[/HIDE].В этом шелле важно понять куда вводить пасс для доступа (смотрим первую ссылку в посте).Если мы ошибёмся в наборе пароля три раза,то будем заблочены.Нащупываем поле для ввода (я просто выделял мышкой,тот участок что показан на скрине по первой ссылке).Вводим.Профит!

Мы уже в гостях.Вошли,так сказать,через чёрный вход.А теперь осталось изучить весь функционал шелла,а он довольно-таки богатый...Самое безобидное,что мы можем сделать,это к примеру рассылать спам

Спойлер: Рассылаем спам

отсылаем

принимаем

Спойлер: Функционал шелла

*Home
*File Manager

*SYMLINK:
Symlink Info
Cms Scanner
Perl based symlink
Symlink Manual
Manually Retrieve Config
Enable Symlink If Disabled
Python Bypass Forbidden Via TCP Protocol
Symlink Bypass 2014

*BYPASS:
Bypass /etc/passwd
Bypass Users Server
Bypass Perl Security
Bypass Root Path with Zip File
Bypass Root Path with system function
Bypass Root Path with exec function
Bypass Root Path with shell_exec function
Bypass posix_getpwuid
Bypass PHP Suhosin function blacklist
Bypass Functions suPHP_ConfigPath
Bypass suPHP Security
Simple Bypasser
Read Files
Bypass Chmod Directory
Bypass Forbidden 2014
Bypass SafeMode 2014 Priv8

*BRUTEFORCE:
Skype Brute Force
Cpanel Brute Force
Joomla Brute Force
Wordpress Brute Force
Twitter Brute Force
Gmail & Hotmail Brute Force
Ftp Bruteforce

*MASS:
Mass Deface Dirs
Mass Change Admin Joomla
Mass Change Admin vBulletin
Mass Change Admin Mass WordPress
Wordpress & Joomla Mass Deface
Wordpress Hijack Index Priv8
Joomla Index Changer
Wordpress Index Changer
Cpanel & Ftp Auto Defacer

*CGI TELNET

*SERVER SECURITY:
Bypass Server Security Functions
Test Permission
Server Infos

*SPAM:
Mailer Priv8
Everything You Need
Paypal Checker
Email Extractor

*TOOLS:
MySQL & PostgreSql Connect
Command Execution
Base64 Command
Config Grabber
Subdomain Checker
Joomla Reverse Server
Wordpress Reverse Server
Find Directory Writable/Readable
Zone-h Notifier
Shtml Command Shell
Back connect Simple
Ruby BackConnect
Perl BackConnect
Python BackConnect
Exploit
Whcms Killer
Webmail Password Changer
Wordpress Csrf Exploit

*FACEBOOK:
Reset Password Victim
Facebook Multi-Account BruteForce

*IP Reverse Domains

*ALL LOCALROOT KERNEKS EXPLOIT

*SCAN:
Shell Finder
Jce Scanner
JCE Multi-Uploader
Port Scanner
Admin Page Finder
Search Files

*UPLOADER:
From your PC
From Url

*Logs Eraser

*About Shell

*Logout

*Kill Shell

Итог:качать стили непонятно где-не стоит,дабы не попасть в такую ситуацию.

 

[Lyudmila]

ни фига себе! запросто можно нарваться !
какой ты молодец!

 

[gang]

Итог:качать стили непонятно где-не стоит,дабы не попасть в такую ситуацию.

От этого никто не застрахован, всё делается методом проверки, все шаблоны которые я выкладывал я старался проверять, плагины или расширения для xenforo так же стараюсь проверять, хотя бы самый простяцкий вредоносный код.

 

[NIN@]

Антош, ты прям мануал накатал для какеров, как ты их порой называешь

От этого никто не застрахован, всё делается методом проверки, все шаблоны которые я выкладывал я старался проверять, плагины или расширения для xenforo так же стараюсь проверять, хотя бы самый простяцкий вредоносный код.

gang, рада видеть тебя здесь!

 

[X-Shar]

Далее переименовал файлик шелла в styles.php (здесь фантазии не хватило) и закинул в одну из папок стиля.

Добавлю, лучше назвать например logo.png и в htaccess прописать что png - это php в папке и тогда мало кто догадается, а при обращении к такой "Картинке" будет исполнятся php...

Про отсылку, в XenForo все стили это по сути шаблоны и можно где-нить в шаблоне сделать какую-нить "Стучалку", что стиль установлен например...

В общем-да качать нужно осторожно как стили, так и плагины !

 

[Антоха]

X-Shar,глянь какой отменный плагин для ловли мультов

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Кросс-браузерный (Flash Cookies) определитель мультиаккаунтов.
Sticky Multiple Account Info использует сложную систему, для поиска пользователей, которые используют Ваш форум с нескольких учетных записей и уведомляет Вас об этом.

Система обнаружения является самой уникальной из всего, что было создано до сих пор. Идея вдохновения была почерпнута из знаменитой, но очень перегруженной библиотеки evercookie для возможности кросс-браузерного определения мультиаккаунтов.

Плагин не только использует стандартный HTTP-cookies, но также Flash Cookies (Local Shared Objects), png-картинку с зашифрованным содержимым, HTTP eTags, Web Cache, window.name caching, userData storage (только для IE), HTML5 хранение сессий, HTML5 локальное хранилище, HTML5 глобальное хранилище (тольеко для IE) и HTML5 SQLite Database Storage, что не позволит пользователям остаться незамеченными даже после удаления cookies из своего браузера.

Плагин был написан так, чтобы избежать повторных и ложных срабатываний.

 

[X-Shar]

X-Shar,глянь какой отменный плагин для ловли мультов

Да и нафиг он нужен, если здесь да и пофиг, если не спамят то я за мультами и неохочусь...

А на такой плагин могут ругаться АВ и если очистить историю браузера а не только куки, сработает-ли этот плагин ?

 

[Антоха]

Да и нафиг он нужен, если здесь да и пофиг, если не спамят то я за мультами и неохочусь..

Я не в том смысле.Имелись в виду методы обнаружения мультиаккаунтов.Сколько разных технологий применено.

 

[Антоха]

X-Shar,глянь какой отменный плагин для ловли мультов

Похвалил данный плагин,но сам его не ставил.В итоге увидел комментарий от специалиста :

Спойлер: Exile сказал

В общем поставил себе это дополнение, но как и думал пришлось удалить. Причина очень простая - пошло большое число жалоб от пользователей Google Chrome на то, что иногда вместо сайта они видят вот такую вкладку:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Проблема из-за того, что используется flash-компонент для установки куки и иногда он видимо сбоит. А так как в Chrome свой flash-плеер, это стало с этим браузером критично. Большинство пользователей ходят именно с Chrome и пренебрегать ими никак нельзя. После обновления вкладки все открывается нормально (кука уже поставилась), но вот если ее нет, вероятность такой ошибки очень высока. Из-за этого, как бы прекрасен не был плагин, от него пришлось отказаться. Придется использовать банальный Alter Ego, там хотя бы нет критичных компонентов вроде флеша.

PS. Кстати, у автора на сайте написано что "весь наш код написан высококлассной командой программистов" и т.д. и т.п. Но в плагине такой гавнокод... Чего только стоит пихание в папку styles php-скриптов, которых там быть в помине не должно. Плюс в целом все проверки так написаны, что не удивлюсь багам при регистрации из-за несовместимости с другими дополнениями.

Олег у меня к тебе вопрос.Я не могу попасть к Гангу на форум через родной айпи (уже больше месяца).При входе на форум крутится значок загрузки страницы и в результате выдаёт :

Грешил на Ганыча,что он ненароком добавил меня в забаненые (или что-то в этом роде),но он говорит,что маски с моим айпишником у него нигде нет.Потом обнаружилось,что мне не попасть и на его хостинг,сайт хостинга категорически отказывается загружаться из-под моего родного айпи.Обратились к хостеру,но и он сказал,что меня нет в блэке.
Ганг стал говорить на моего провайдера Ростелеком,типа он чудит.Но с работы я спокойно захожу к Ганычу не изменяя айпи,хотя провайдер тот же (РОСТЛЕКОМ).Олег,как разгадать в чём проблема?
И ещё вопросик.Как ты осуществил показ пользователей которые скачали файл на Ру-Сфере?

 

[X-Shar]

И ещё вопросик.Как ты осуществил показ пользователей которые скачали файл на Ру-Сфере?

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Ну я ещё дорабатывал там что-то, плагин старый ещё к 1.1...

Олег,как разгадать в чём проблема?

Нужно смотреть, где теряются пакеты:

ping - смотреть есть-ли пинг вообще, если есть, то посмотреть коммандой tracert где теряются пакеты, как-то так для начала...

А хостер не стал разбираться в чём проблема ?

Хотя-бы этими способами посмотрели-бы, может всё-же у них проблема ?