Оригинал статьи - Скрытый контент. http://telegra.ph/Analiz-stillera-ot-xZist-01-06 Нажмите, чтобы раскрыть... Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Дисклеймер Билд был выдан мне на DW для проверки. Автор софта согласился на анализ: http://telegra.ph/file/2a0773f343ef147d456ba.png http://telegra.ph/file/0c1b58655b6ff0e1676cc.png Анализ файла Сам билд представляет из себя SIM инсталлятор: https://image.prntscr.com/image/Gj70hS4lTk6Kbrlbn8jHdA.png При запуске запрашивает админ права. После запуска дропает следующие файлы в %appdata%: https://image.prntscr.com/image/zHL6XNHARH6TO019D7hjWA.png Uninstall-файлы это удалятор от SIM, текстовый документ с именем ПК - лог (который почему-то пустой, хотя на виртуалке в хроме были пароли), SQLite дллки - для работы с БД браузеров, System Disk - сам стиллер: http://telegra.ph/file/49277c1cb6fb3cc514ea2.png Сразу тянется рука к дотпику, и не зря: http://telegra.ph/file/8be9902d28e33fda1d81d.png Сервер Вот так просто можно получить исходный код этого стиллера. Но это не самое важное, ведь софт делается с прикольной, между прочим, идеей - отсылка логов в телеграм бота. Мне в этом плане все очень понравилось. Единственное НО (а может и не единственное) - для бота нужен сервер => логи хранятся на сервере разработчика и вообще билды зависимы от него. Да, но селлер предлагает так же делать билды с привязкой на почту. Это нас не интересует, поэтому разберемся с сервером. Видим в конце каждой функции стиллинга (они почему-то разные под все хромиум-браузеры, хотя можно сделать в одном методе): http://telegra.ph/file/f3c3f44197ed39a84f630.png Тут идет отсылка логов на сервер и дальнейшая их идентификация. Интересно, а что будет если туда залить не лог, а какой-либо другой файл? К примеру, обычный .php файл с выводом произвольного текста. Просто дублируем строку: https://image.prntscr.com/image/tbQFVsxlRMekGWR-UKob8A.png Запускаем и проверяем результат: http://telegra.ph/file/472d4bc65b4e7663115aa.png Сорри, но у вас RFI. То есть, любой желающий, может разреверсить билд (прошу заметить, код не защищен ничем, как писал автор - его это устраивает), залить шелл на хост и забирать себе втихую чужие логи. Для проверки заливаем (вообще залил @Qutrachka, но только в образовательных целях) шелл b374k и пробуем отыскать логи: https://image.prntscr.com/image/q-lhbhstQlWllGrjSxKcdw.png Прошу заметить, можно получить доступ не только к логам, а полностью к управлению всем стиллером и хостом. Вывод Сама идея очень хороша, но реализация, мягко говоря, хромает. Надеюсь, кодер обратит внимание на свои косяки и закроет их (в таком случае я бы и сам поюзал подобный продукт). Ссылки Исходник + семплы - https://github.com/ims0rry/xZist-Stealer Продажник - Скрытый контент. https://darkwebs.ws/threads/48719/ Нажмите, чтобы раскрыть...
