Я и спрашиваю, чем он лучше?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
AZOR R.I.P
- Автор темы Revolver
- Дата начала
1) ну дизайн шляпа конечно, тут не поспоришь, но это не главное же. 2) не разбираюсь в методах, я не кодер, да и мне это не особо интересно, важен результат, поэтому смотрю по факту. 3) отстук в плане процентного соотношения с пролитого, ну это со слов тех кто льет, я сам не лью с бирж.
а чем он мусорка то? многие им пользуются и при деньгах и дело не в том что кому то сто баксов жалко на лицухи..чел выше такую чушь написал что просто пздц)
Я разбираюсь, я кодер и я реверсил админку. И если в коде админки все настолько плохо, то хз что в билдах. От этого непонимание, как настолько ужасно написанное, может быть таким популярным на рынке, пытаюсь найти хоть одну причину этому явлению.
Если ты не кодер, я думаю, мало смысла будет рассказывать почему. Как минимум серьезным несоответствием стандартам разработки. Проще говоря, его бы даже джуном в белую контору не взяли бы с таким уровнем разработки бекенда и фронтэнда и допускаемых, помимо этого, серьезных, хорошо документированных, уязвимостей. Вдумайся в тот факт, что он раньше не ограничивал доступ к логам и доступ к пролитому мог получить КТО УГОДНО по пути /files.
Кстати забавный Type Juggling в панели азора.
Автор не шарит в строгое и нестрогое сравнение))) Вот кусок кода из авторизации в панели
if((@$_COOKIE["pwd"]) != md5($admin_pwd)) die(FileToString('./html/login.html'));
Main();
То есть по сути имеем следующее сравнение:
Если md5(пришедший_пароль) не равен md5(сохраненный_пароль_админа_в_конфигах) - выкидываем юзера перелогиниваться. Если все ок, вызывается функция Main(), которая уже
исполняет дальнейшую логику админки.
Пароль из конфигов у нас допустим 240610708 . После md5(240610708) будет такое значение:
0e462097431906509019562988736854 . В куки мы кладем значение 0e143
Из-за не строгого сравнения, он смотрит на эти значения и видит в них не строки, а научную нотацию чисел (0e134 префикс) и что интересно, сравнивает их как числа. И мы получим уже сравнение 0е... == 0е..., что эквивалентно 0 == 0 - всегда является истинной. И мы попадаем в админку ?
Автор не шарит в строгое и нестрогое сравнение))) Вот кусок кода из авторизации в панели
if((@$_COOKIE["pwd"]) != md5($admin_pwd)) die(FileToString('./html/login.html'));
Main();
То есть по сути имеем следующее сравнение:
Если md5(пришедший_пароль) не равен md5(сохраненный_пароль_админа_в_конфигах) - выкидываем юзера перелогиниваться. Если все ок, вызывается функция Main(), которая уже
исполняет дальнейшую логику админки.
Пароль из конфигов у нас допустим 240610708 . После md5(240610708) будет такое значение:
0e462097431906509019562988736854 . В куки мы кладем значение 0e143
Из-за не строгого сравнения, он смотрит на эти значения и видит в них не строки, а научную нотацию чисел (0e134 префикс) и что интересно, сравнивает их как числа. И мы получим уже сравнение 0е... == 0е..., что эквивалентно 0 == 0 - всегда является истинной. И мы попадаем в админку ?
Было такое, не спорю...но факт остается фактом, в том что им реально люди пользуются и не бедные, те кто якобы жалеет сто баксов на покупки и полно людей которые думают так же как NaMneCash, у меня например есть лицуха предатора, а стоит кряк)) стучит лучше чем последняя обнова)
А еще можно хуеты пролить обывателю за его же счет, конечно же! Ибо код и принцип так прост, что даже не вспотеешь.
Все, что нужно, в билде глянуть xor ключ и guid.
Например как азор сериализует данные
m_id|os_ver|os_name|os_arch|compname|username|passwords_count|btc_count|cc_
count|files_count|bin_type|bin_rights|filename
(для общей инфы по пк)
soft_type|soft_name|p1|p2|p3|p4\r\nsoft_type|soft_name|p1|p2|p3|p4
(для паролей, вытянутых с жертвы)
reportdata
<info{guid}>{m_id}|{os_ver}|{os_name}|{os_arch}|{compname}|{username}|{password
s_count}|{btc_count}|{cc_count}|{files_count}|{bin_type}|{bin_rights}|{filename}</info
{guid}>
Вот так выглядят данные, отправляемые билдом в админку, после расшифровки, где
вместо {что-нибудь} - подставляемый параметр.
reportdata
<infoEDSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-HFDI
UFG6D851>13551561|6.2|Windows|x86|UserPWN-PC|EBATb-TbI-LOX|5|1|4|5|E|A|azoru
lt.exe</infoEDSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-
HFDIUFG6D851
<pwdsEDSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-HFD
IUFG6D851>1|360Browser|http://lox6056.com|User-8477|ENRBV41PVL9F1OYK|None
1|GoBrowser|http://lox850.com|User-9682|UDD0Q9BN3EC61BE5|None
1|InternetMailRu|http://lox516.com|User-4792|VIE9A0WZ8D67JNNJ|None
1|Amigo|http://lox496.com|User-2083|1X4BCZ1RK57YLLDH|None
1|Opera|http://lox1883.com|User-2667|V5XVEO1C2SPADIUY|None
1|InternetExplorer|http://lox8509.com|User-3124|5M4GTW7TBD6HG9G5|None</pwdsE
DSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-HFDIUFG6D
851>
А вот пример валидных, рандомно сконструированных данных. Передает общие
сведения о пк + пароли.
Прослали фейк логов. Плати бабки за траф!
Генерим дату.
Шлем репортики в панельку. А да, кстати. Азор верит полю x-forwarded-for, по этому шоб налить юса логов по скидочке, не надо даже сокс натягивать хд. Я сделал это для рофлов, а ваши селлеры трафа?
Все, что нужно, в билде глянуть xor ключ и guid.
Например как азор сериализует данные
m_id|os_ver|os_name|os_arch|compname|username|passwords_count|btc_count|cc_
count|files_count|bin_type|bin_rights|filename
(для общей инфы по пк)
soft_type|soft_name|p1|p2|p3|p4\r\nsoft_type|soft_name|p1|p2|p3|p4
(для паролей, вытянутых с жертвы)
reportdata
<info{guid}>{m_id}|{os_ver}|{os_name}|{os_arch}|{compname}|{username}|{password
s_count}|{btc_count}|{cc_count}|{files_count}|{bin_type}|{bin_rights}|{filename}</info
{guid}>
Вот так выглядят данные, отправляемые билдом в админку, после расшифровки, где
вместо {что-нибудь} - подставляемый параметр.
reportdata
<infoEDSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-HFDI
UFG6D851>13551561|6.2|Windows|x86|UserPWN-PC|EBATb-TbI-LOX|5|1|4|5|E|A|azoru
lt.exe</infoEDSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-
HFDIUFG6D851
<pwdsEDSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-HFD
IUFG6D851>1|360Browser|http://lox6056.com|User-8477|ENRBV41PVL9F1OYK|None
1|GoBrowser|http://lox850.com|User-9682|UDD0Q9BN3EC61BE5|None
1|InternetMailRu|http://lox516.com|User-4792|VIE9A0WZ8D67JNNJ|None
1|Amigo|http://lox496.com|User-2083|1X4BCZ1RK57YLLDH|None
1|Opera|http://lox1883.com|User-2667|V5XVEO1C2SPADIUY|None
1|InternetExplorer|http://lox8509.com|User-3124|5M4GTW7TBD6HG9G5|None</pwdsE
DSER93-1EDA-4W4C-BEED-WNFYRIFHBF4C04CFEW99-FES9-4558-9FEF-HFDIUFG6D
851>
А вот пример валидных, рандомно сконструированных данных. Передает общие
сведения о пк + пароли.
Прослали фейк логов. Плати бабки за траф!
Генерим дату.
Шлем репортики в панельку. А да, кстати. Азор верит полю x-forwarded-for, по этому шоб налить юса логов по скидочке, не надо даже сокс натягивать хд. Я сделал это для рофлов, а ваши селлеры трафа?
Последнее редактирование:
нормально ты разложил...скажи плиз, какой по твоему мнению сейчас нормальный стилак? просто интересно мнение разбирающегося человека
Я не скажу, какой на рынке именно, потому что не использую ни один из них. Но могу назвать критерии качества, на что смотреть.
1) Первое, что скажу. Стиллаки конкретно в технологии расшифровки и отправки данных +- все одинаковые. Если кодер не нафейлит с моментами менеджмента работы с файлами и памятью или кодировками.
2) Тестить билд нового покупаемого стилака на всех заявленных ос(на виртах). Без ав. Может быть такое, что он и без ав иногда не будет работать. Это вообще пиздец.
3) Админка должна быть написана качественно. Не с точки зрения функционала даже. MVC(или аналоги), хэдлеры для каждого запроса, нормальный роутинг. Нормальная работа с бд. ORM.
4) Качественный фронтэнд. Angular/Vue/React. Пишешь лапшевидный код на jquery - в топку. Системы сборки бандлов на фронте. То есть норм оптимизация, под все рабочие браузеры, babel/webpack. Если CSS фреймворк - тоже ок, даже лучше. Material/Bootstrap - это ок.
5) ВАЖНО - деплоинг тема. Весь проект должен быть в докер контейнере. Платить за установку на сервер 150 уе как это было у азора - это пошел нахуй сразу. Если норм подготовить докер образ - то у тебя 1 файл конфига. Ты вводишь в консоли docker-compose up --build. ВСЕ! Весь проект 1 командой собирается и работает! Никакой мануальной установки зависимостей и прочей чепухи. Хост система чистая. Сносится и переустанавливается образ тоже в один клик. Сделать, если есть мозг, такое - не сложно. А драть за собственную некомпетентность по 150 уе за установку - нахуй. Клиенту не охота ебаться с вашими версиями пхп, зависимостями и настройкой бд.
6) Собственный морф движок. Сорцы проекта стиллера только у автора ведь. Если он не осилил сделать нормальную чистку на уровне сорцов - этот проект загнется, после пятого клиента и слива на вт.(обычный крипт, что на рынке - помойка, не спасет, запудривание моска)
7) Админка, если она хостится публично - должна быть скрыта от всех. Даже бл#ть присутствия своего не выдавать. У кого такое есть? Ни у кого. А сделать просто. Просто всем похуй или не осилили чек на специфичный юзер агент, который известен только клиенту.
8) Генерация ключей шифрования трафика и прочего - на тачке у клиента(на хосте, где будет работать). Я не хочу, чтобы селлер знал мои ключи.
9) Я не хочу быть зависимым от селлера в плане админки. Пиздит логи автор софта или нет - я не хочу это выяснять. Такой возможности в принципе быть не должно.
10) Доставляемый билд не должен иметь функционала стиллера. Должен быть стейджинг, шеллкод стиллера или рефлексивная загрузка кода из строки - не важно. До рантайма - сигнатур стиллера быть не должно в коде. Fileless техники и нормальный стейджинг, короче говоря.
11) Должны быть разновидности доставляемой нагрузки. js/chm/bat/hta/etc...
12) Так как стиллер софт простой, то админку можно вообще за пределы твоей вирты не выпускать. Берешь api ключ файлопомойки и через нее реализуешь бекон. 1) админки стиллера никто не увидит. 2) ты не хостишь админку вообще, а значит доступа к логам нет даже у хостера 3) ты не платишь бабки за хостинг. 4) логи в расшифрованном виде оказываются только у тебя в панели, которая на вирте. 5) Твою админку не тронет спамхаус и прочая чепуха и не внесет ее в блеки. 6) Твой билд стучит на публичные сервера популярной файлопомойки, а значит заабузить нельзя ресурс этот. Масштабно имеется ввиду. Конкретно твой апиключ можно, но ничего не мешает создать новый, это бесплатно. 7) Доверия к урлам файлопомойки у ав выше, чем к ресурсу IA-MALWARb-VASI-PUPKINA.COM. 8) Ты не состоишь в анальном рабстве у владельца MaaS платформы и не трясешься за свои логи.
Вроде из основного все. Видел где нибудь такое в продажах?) Я нет.
Но на правах рекламы скажу, что я уже доделываю нечто подобное. Но и стоить такой комплекс не может 100уе, сам понимаешь.
Последнее редактирование:
Я на месте разработчиков браузерного софта, каждый мажорный билд менял бы алгоритмы сохранения паролей, чтобы подобные темы умирали очень быстро. Хотите профита - платите бабки за обновления, а тут пару лет халявы, непорядок.
Прям доставляют такие наборы фраз, особенно для стилера.
Стиллеры тоже люди, тоже хотят любви
- Автор темы
- Добавить закладку
- #33
остальные не тянут столько сколько тянет он, пробовал все эти предаторы и ракуны
- Автор темы
- Добавить закладку
- #34
если что куплю подобный инструмент
Ну я х#й знает. Я застал godzilla loader и уход автора в блек. Считаю его админку лучшей из продуктов того времени (и некоторых сейчас). Есть конечно небольшие косяки, но куда же без них.
Вообще считаю, что наличие фреймворков и какого-либо дизайна, кроме минимализма и фиксированной верстки в малвари бредом. Для лендингов, публичных проектов можно, но в панели приятнее смотреть на большое количество ботов, чем на субъективную красоту адаптивного дизайна.
Теперь по порядку.
А смысл? По классике импортируешь бд/ставишь с установщика записывая в конфиг инфу. И если ты пишешь на жс, то зачем тебе пхп? Какая-то куча противоречий.
Любой снифер запалит куда стучит софт. Решение: прокладка на прокладку.
Снова вспоминается годзилла. Заносишь один ключ в панель, второй вписывается в софт. Селлер ничего толком не знает, красиво.
А если сервер поломали? А если такая возможность есть и селлер оставил в куче лишнего кода бекдор?
И встречал несколько проектов с обфускацией панели, если там есть бекдор найти его нереально.
Вот это интересная тема, но тут уже нужно копать в сторону стеганографии.
И какую цену ты видишь за свой проект?
Считай, я ж не запрещаю. Автор азора тоже, видимо, так считал.
Для лендингов фреймворки? Чеее бл#ть? Как раз они там и не нужны. Ни бутстрапы, поскольку для ленда нужен уникальный дизайн и на этом акцент, ни вью и анугляры, поскольку в лендах минимум состояний и бизнес логики. А в панели малвари как раз таки надо. Потому что фреймворки типо ангуляра позволяют реализовать любой сложности бизнес логику без костылей и с возможностью поддержки. Мне почему то кажется по твоим сообщениям, что ты ни разу не использовал эти инструменты.
Открой вики по докеру или обучающие видео, смысла так много что в пост не влезет. Разница понимаешь в чем, если ты пишешь «а смысл», значит ты не пробовал, не варился в разработке и там и там. А я варился, и с классическим подходом и с докером. И я тебе скажу, что небо и земля.
Ну и про пхп. Я не пишу на пхп. У меня на бекенде Python. А противоречия - ну они в твоей голове только, если не различаешь фронтенд и бекенд и не слышал про стек django/tornado и SPA апликухи на фронте на всяких ангулярах. Я хз что тут можно дискутировать, если ,судя по всему, ты по классике все пишешь и никогда не пробовал работать с этими технологиями. Все мои аргументы описаны в Вики этих технологий и повторения преимуществ в этом посте походит на бесплатный промоушен, но мне за рекламу не платят. Делай, как делаешь. А я буду делать как делаю я. Но рассказывать про бессмыслецу выбора такого стека и без понимания сабжа, т.е не работая так ни разу и при этом принижать то, чем пользуются топ компании мира для реализации сложнейшей бизнес логики - ну такооое
А как ты будешь делать динамическую верстку для каждого экрана и css? Ставишь bootstrap и все.
И никак дизайн от фреймворка не зависит. Подключаешь свой style.css и все.
Ну типа бизнес логика тебе в панели для стилера не нужна, раз уж на то пошло. А личные крупные коммерческие проекты можно писать на голом php + html + css + mysql и мозг не ебать.
Да, а 70% из описанных тобой инструментов не использовал. Но мне это и не нужно.
Да, почитал. Зачем тебе контейнеры на linux для панели?
Или ты хочешь в контейнер собрать все зависимости сервера и сразу поставить? Может проще прописать sudo apt update и sudo apt upgrade?
А на фронтенде жс?
Просто объясни кратко, в чем у тебя заключается "сложнейшая бизнес логика" в панели? И надо юзать питон с жс и уймой фреймворков с 10к + строками кода.
Ну разве что только из-за гридов бутстрапа стоит тянуть. А вообще такое не сложно делается с помощью медиа запросов.
Смотря какой стиллер, ещё раз. Представь стиллер, который беконит с билдом через third party сервер файлопомойки по апи токену. При этом реализован стейджинг - а именно админка раз в N секунд обращается к локальному сервису сервер сайд обфускатора/морфера по апи, берет поморфленный билд тела стиллера и отправляет на файлхостинг по этому токену. А доставляемое на тачку жертвы при запуске скачивает, расшифровует основное тело и инвокает в памяти. Интересно, сколько уже состояний насчитал при такой схеме для достижения отказоустойчивости? Бизнес логика есть везде, вопрос в том, как ее много. Начиная с фильтров, заканчивая более сложными кейсами.
Давай ты сходишь ирл на собеседование с таким стеком на веб разраба. Скажешь тимлидам вот прям то же самое. А потом расскажешь чем все закончилось, и сколько цифр в оффере по итогу, в скобочках - нисколько, поскольку такое и даром не нужно. При командной разработке ты скорее всего навредишь своим голым стеком, чем принесёшь пользу.
Да бл#ть потому, что у каждой зависимости, будь то субд или обфускатор - ещё 100500 зависимостей под капотом. И может так случиться, что какой нибудь модуль crypto используется одновременно и твоей бд и обфускатором, или ещё круче - в обфускаторе какая то зависимость использует этот модуль. То есть зависимость у зависимости. А версионности crypto, нужные для работы субд и обфускатора - разные. А поскольку у тебя зависимость стоит глобально - ты в пизде. Или твой клиент. У которого, помимо твоего софта, может глобально ещё быть установлена версия crypto, которую использует совсем другой софт. Системный софт или другой, установленный через apt install, например. это только 1 кейс почему контейнеризация это выход. 2 кейс - передача образа. Софт, который докеризирован, гарантирует, что будет работать точно так же, как и на девелоперской тачке. Ни больше ни меньше. Если поставляемый образ не работает - это символизирует про ошибку на стороне разработчика и только. Докер образ будет работать везде одинаково, где есть установленный докер. Если грубо говорить, то это тоже самое, что ты заранее создал вирту в виртуал бокс там все настроил и передал образ вирты клиенту. Только в случае с докером - виртуализация не целой ос идёт, а на уровне приложений, используя ресурсы хост системы.
Знаешь, на пайтоне тоже можно писать не соблюдая стандарты pep, а ещё можно писать логику на пхп прям в хтмл верстке и не знать что такое MVC и для чего. А ещё на фронте без бандлов можно работать и писать лапшеподобный код. И вообще нахуй этот компонентный подход в фронтенде. Работать в принципе будет, но славы качественного девелопера в норм обществе ты не сыщешь. А если в ходе эволюции придёшь к таким решениям и напишешь свой велосипед - то тем более. На велосипедирующих смотрят как на дураков, потому что ты проебуешь рабочее время на то, что уже реализовано качественно и в любом случае лучше, чем в твоём велосипеде на скорую руку. И в команды звать не будут. Не удивляйся только потом, почему.
Последнее редактирование:
Из фреймворков я только с ним работал. С остальным в свое время не сталкивался.
Медиа запросы юзать для всех экранов компов и мобил под не стандартным ксс уже в 2014х было не очень, а сейчас тем более.
Ну, если ты в 2020 году хочешь работать в ирл кодером где-либо в снг, кроме москвы или киева, то видимо у тебя все работает в теории, а не на практике. Потому что с 2017х все интересные места заняты, а конкуренции нет только в фронт+бек девелопе.
И работать на дядю в кодинге такое себе. Может лучше тогда разгонять демонстрации на митингах?
Не знаю, как сейчас, но раньше такого не было. Берешь голый сервер, ставишь стандарный софт и все.
Почитаю, что делается с современным кодингом, но тенденция хуевости стала еще хуже. Не зря ушел с дрочильни в коде.
Не работать на дядю в принципе невозможно. Даже в бизнесе, есть тот, кто платит тебе деньги за что то, всегда! Если, конечно, ты не владеешь печатным станком.
Лол. Я ж тебе сказал, в норм месте ты работу не найдёшь с твоим стеком и даже сказал тебе не удивляться по этому поводу
Даже работая на средней паршивости галере, ты будешь получать больше, чем продавая тут стиллеры и клиперы за 25$)А в чем хуевость? В сложности освоения новых подходов, когда в коем веке в вебе стало делаться все качественно? ну да, не зря ушёл, в таком случае, ибо то, что нужно было для работы в 2006 и сейчас - разные вещи. Потому что развитие технологий и компьютеризация всего.
Рост сложности проектов, рост темпа разработки при соблюдении качества и возможности командной разработки это про сегодняшние технологии. А то, что описал ты, путь одиночек, кто пилит легаси в стол. Fb, airbnb, google about, forbes, github community forum, ms office home, nasdaq. Либо они долбоебы, что юзают фреймворки, либо ты застрял в 2000, выбор очевиден.