Авторские статьи Взлом формграбера Zeus + бонус

Discussion in 'Статьи' started by m0s]{, 9 Jul 2008.

  1. m0s]{

    m0s]{ Member

    Joined:
    29 Mar 2008
    Messages:
    27
    Likes Received:
    13
    Reputations:
    0
    В статье мр.сталин изложил взлом админпанели бота формграбера ZEUS а так же дальнейший взлом всего хостинга ^_^

    Взлом формграбера ZEUS

    В данной статье мы рассмотрим простейший анализ малварь грабера (бота) ZeuS и дальнейший взлом его админки...

    Немного про Zeus - это бот формграбер, довольно многофункциональный, стоит он порядка 3к$, главная его
    задача это грабинг веб форм, грабинг фтп, т.е. выполняет функции по сбору паролей у юзера и другие различные фичи.

    Управление данным ботом производится через Web-админку, которую мы и заюзаем.

    Для начала нам понадобится сам бинарник Zeus'a, его довольно просто найти к примеру на сайте
    www.malwaredomainlist.com, на нём выкладывают линки на раздичные малварь, вирусы, эксплоиты и прочий стафф,
    и Zeus тому не исключение. Достаточно в поиск ввести ldr.exe - это бинарник Zeus'a, либо cfg.bin -
    это его конфиг, в котором хранятся нстройки бота в зашифрованном виде. Сам бинарник при открытии первым делом будет качать cfg.bin - это его конфиг, в нём
    записан путь к админке Zeus'a, но обычно (90% случаев) бинарник с конфигом лежат в одной директории
    с админкой.

    В общем качаем попавшийся бинарник Zeus'a и начинаем анализировать откуда он качает конфиг, делать
    это через отладчик не желательно, ибо да же малварь анализаторы (некие "песочницы" анализирующие активность вредоносного кода) не могут определить откуда
    идёт скачка, по этому воспользуемся снифером пакетов Wireshark.

    Открываем Wireshark, вкладка Capture -> Interfaces, там выбираем наш сетевой адаптер и жмём Start.
    После чего в главном окне программы будут отображаться передаваемые пакеты.
    Так как нам нужны пакеты которые отсылает именно Zeus тогда откроем его (например на виртуальной машине) после чего в логе ищем следующую строчку :

    Source Destination Protocol Info
    66.175.*.* 211.95.*.* HTTP Get /web/cfg.bin HTTP/1.0

    следовательно отсюда видно что получаем конфиг зевса гет запросом, посмотрев в нижнее окно снифера
    можно найти домен с которого идёт скачка конфига:

    Get /web/cfg.bin HTTP/1.0..User-Agent: Mozilla/4.0(comportable); MSIE 6.0;
    Windows NT 5.1)..HOST: ddosmanager.***..Ptagma: no-cashe....

    следовательно ddosmanager.*** это и есть домен, а конфиг лежит по следующему адресу:

    ddosmanager.***/web/cfg.bin

    нам его необходимо скачать и расшифровать, чтобы наверняка узнать адрес админки, для этого используем
    софтину ZeusDecrypter, скормим ей конфиг и получим следующий текст:

    Config version: 1.0.6.2
    Loader url: http://ddosmanager.***/web/ldr.exe //путь до лоадера бота
    Server url: http://ddosmanager.***/web/s.php //путь до скрипта админки
    Advanced config 1: http://ftpiframer.***/cfg1.bin //пыть до дополнительной админке
    etc...

    отсюда видим что полный путь до скрипта админки http://ddosmanager.***/web/s.php ....
    следовательно начинаем проверять:
    http://ddosmanager.***/web/in.php - ага видим сама админка, запрос логина и пароля можно попробывать их
    подобрать)))
    http://ddosmanager.***/web/.install - проверяем может вдруг случайно не удалили папку с инсталом и мы
    сможем спалить пароли к бд
    http://ddosmanager.***/web/.files - проверяем существует ли папка в которую Zeus копирует сертификаты

    если существует то всё гуд.

    В Zeus'e так же есть грабер сертификатов, вебмани ключей, скрины кликов. Всё это добро копируется в диру
    .files, следовательно можно попытаца отправить в эту диру произвольный PHP скрипт за место сертификата,
    например тот же веб-шел. Для этого нам понадобицо сплоит который можно слить сдесь:

    http://rapidshare.com/files/11330757...ploit.rar.html

    далее заливаем сплоит на хост с поддержкой PHP, запускаем и вводим данные по веб админке:
    HOST: ddosmanager.***
    FOLDER: web/

    ну и жмём заветную кнопку на запуск, после чего сплоит выводит нам данные по админке:


    q4array( { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(4) "vis*" ["login"]=> string(4)

    "vis*" [2]=> string(6) "fynji*" ["pass"]=> string(6) "fynji*" [3]=> string(10) "4294967295" ["priv"]=>

    string(10) "4294967295" } array( { [0]=> string(1) "2" ["id"]=> string(1) "2" [1]=> string(9)

    "elpirato*" ["login"]=> string(9) "elpirato*" [2]=> string(6) "12312*" ["pass"]=> string(6) "12312*" [3]=>

    string(7) "2097135" ["priv"]=> string(7) "2097135" } array( { [0]=> string(1) "4" ["id"]=> string(1) "4"

    [1]=> string(7) "Stifle*" ["login"]=> string(7) "Stifle*" [2]=> string(6) "12345*" ["pass"]=> string(6)

    "12345*" [3]=> string(6) "368871" ["priv"]=> string(6) "368871" } MYSQLHOST: localhost MYSQLUSER:

    traff*****_zeus MYSQLPASS:123***

    отсюда видим:
    1)
    vis* - логин
    fynji* - пароль
    2)
    elpirato* - логин
    12312* - пароль
    3)
    Stifle* - логин
    12345* - пароль

    3 логина и пароля к админке - так как к ней имели доступ 3 пользователя, так же сплоит выдаёт другие
    данные по БД.

    Ну вот и всё в принципе, теперь имея полученные данные можно логинецо в админку, угонять ботов, сливать
    логи и делать другие действия. Так же через сплоит можно на хост залить шел.

    Исправить данный баг довольно просто, нужно запретить выполнение скриптов из этой директори, к примеру простым добавлением строчек в .htaccess:

    RemoveType php

    <IfModule mod_php4.c>
    php_flag engine 0
    </IfModule>

    <IfModule mod_php5.c>
    php_flag engine 0
    </IfModule>

    Gratz:

    [GFS-Team]
    [TGBR]
    [CCB]

    by St. 29.04.08


    з.ы. отдельное спасибо за сплоит Semen-Demon ^^
     
  2. vampir3a

    vampir3a New Member

    Joined:
    25 Nov 2007
    Messages:
    9
    Likes Received:
    1
    Reputations:
    0
    а как найти сайты с зевсом ?
     
  3. Carnivore.Sys

    Carnivore.Sys Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    50
    Likes Received:
    140
    Reputations:
    -5
    взломай мой зеус афтар)))
     
  4. ThreeD

    ThreeD Banned

    Joined:
    25 Dec 2006
    Messages:
    128
    Likes Received:
    112
    Reputations:
    9
    Статья = Баян.
    Все мало мальски адекватные человеки уже давно пользуются патченными админками.
     
  5. xXvladXx

    xXvladXx Elder - Старейшина

    Joined:
    28 Oct 2007
    Messages:
    77
    Likes Received:
    54
    Reputations:
    5
    пол года назад было актуально, щас уже нет...
    да и статья старая...
    админки можно выковыривать из билдов зевса,
    в гугле их нету, но за то там есть сайты где могут быть айфраймы:))
     
  6. stalin

    stalin Member

    Joined:
    2 Oct 2007
    Messages:
    17
    Likes Received:
    23
    Reputations:
    0
    патченые ?))) ХАХ))) там ещё тонны уязвимостей)
     
  7. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    боян и без копирайтов.
     
  8. satana8920

    satana8920 Палач Античата

    Joined:
    22 Sep 2006
    Messages:
    396
    Likes Received:
    138
    Reputations:
    6
    тема имхо не актуальна уже старо вот еси б свежак бага то да
    ЗЫ ой я пьян как фартепьян =))
     
  9. +toxa+

    +toxa+ Smack! SMACK!!!

    Joined:
    16 Jan 2005
    Messages:
    1,674
    Likes Received:
    1,029
    Reputations:
    1,228
    Хрень. Вся статья сводится к скачиванию плоента и запуску оного.
     
    _________________________