С# отправка архива на гейт

[jyucuken]

Заметил что часто просто не отправляется архив на гейт. на примере локи
идет функция uploadfile, в адресе gate.php?hwid=dfasdf&psw=10&cookie=20...
Смотрю по логам на сервере - на гейт ип ломится, но лог не появляется. больше отладить не смог, потому что не видно какой ав, мб фаерволл рубит. zip архив со всем нужным лежит по нужному адресу.
Как лучше делать отправку в таком случае? Обязательно ли все менять? чтобы не слало в адресной строке hwid pws etc.
Может как то шифровать зип и расшифровывать на гейте? если да, то как лучше это сделать?

 

[r3xq1]

* Firewall
* Пользователь находится за Nat ( требуется прокси сервер )
Так как в loki используется WebClient то нужно дописывать прокси сервер по которому будет идти отправка.
Можно так же попробовать реализовать отправку через TCP

 

[jyucuken]

О-о в чем проблема с веблкиентом и нат. не понимаю вообще
он просто аплоадит файл на СЕРВЕР
на сервере открыт порт и он может принять файл

 

[r3xq1]

Пробуй постепенно делать отправку и смотри из-за чего не даёт отправку.
Сначала задай правила в файрволл для своей программы или отключи его полностью, тестируешь, если не отправляется, значит дело в другом.
Пробуй добавить прокси сервер на WebClient если не отправляется значит дело в скриптах .php может там какой гемор.
Проверь так же отправку на другом компе.
Постепенно шаг за шагом смотри в чём проблема и исправляй её.
Не забывай дебажить отправку поставь бриг поинт на отправку и смотри что там происходит.
Скачай Fiddle, прочие Https анализаторы и смотри что происходит по ним, отслеживая запросы.

 

[jyucuken]

ответ ни о чем
в боевом режиме как я буду дебажить и отлаживать. у меня с компа то отправляется
нужна инфа конкретней. вопросы в первом посте
и зачем вообще прокси на вебклиент) ты очем...

 

[jyucuken]

форум для обмена опытом, я ща все АВ руками не проверю как ведут себя и тд
может способ отправки файла на гейт вообще не будет работать как надо? и надо просто посты слать с инфой.
нужны советы от тех, кто понимает о чем я

 

[Pernat1y]

Блин, если у тебя есть доступ к сорцам (либо ты сам что-то пишешь), то собери дебаг билд, который тебе в файл будет все шаги писать с результатами выполнения. Типа:
Поиск - ОК
Архивирование - ОК
Загрузки - Ошибка: [ Не отрезолвилось имя | таймаут подключения | ошибка хттп (403, 404, и т.д) | ещё что ]
Как вариант, потом этот файл попробовать тоже в админку залить.

Если сорцов нет, то учись пользоваться tcpdump'ом.

Каких ещё советов ты ожидал не приводя никакой конкретной инфы?

 

[jyucuken]

Очень просто. например нужно ли заморачиваться с шифрованием зип файла, или просто запаролить его, ну и зашифровать архиваторам имена файлов внутри зип архива
может ав часто смотрят на то, какой файл отправляется? есть очень много ав и я не знаю как они работают. стиллер работает, архив создается, архив ОТПРАВЛЯЕТСЯ, но прерывается отправка изза АВ или фаерола я так думаю.
я на гейте прописал логирование, чтобы записывало все ошибки. ничего не отловил.
уверен проблема в отправки архива именно в самом стиллере. конкретно в локи стиллер в методе webclient uploadfile

 

[Pernat1y]

Если проблема с детектом, то это можно проверить на том-же dyncheck (если нет желания заморачиваться с установкой нескольких АВ).

 

[c0d3r_0f_shr0d13ng3r]

Заметил что часто просто не отправляется архив на гейт. на примере локи
идет функция uploadfile, в адресе gate.php?hwid=dfasdf&psw=10&cookie=20...
Смотрю по логам на сервере - на гейт ип ломится, но лог не появляется. больше отладить не смог, потому что не видно какой ав, мб фаерволл рубит. zip архив со всем нужным лежит по нужному адресу.
Как лучше делать отправку в таком случае? Обязательно ли все менять? чтобы не слало в адресной строке hwid pws etc.
Может как то шифровать зип и расшифровывать на гейте? если да, то как лучше это сделать?

Чтобы избегать данных о логе в адресной строке можно их объединить в одну строку вида dfasdf|10|20 и зашифровать, а на гейте расшифровывать.

 

[Haunt]

идет функция uploadfile, в адресе gate.php?hwid=dfasdf&psw=10&cookie=20...

Я вообще хз нахрена передавать данные в query params, когда есть post запрос и body у post запроса. Шо за быдло пишет эти гейты

Может как то шифровать зип и расшифровывать на гейте? если да, то как лучше это сделать?

deflate/gzip + шифрование + base64. Схема, применима по сути к любой передаче данных. Перегоняешь данные в байты, обрабатываешь массив этими алгосами, на бекенде восстанавливаешь в обратном порядке.

 

[onek1lo]

Как вариант можно просто грузить base64 строку

 

[Haunt]

Как вариант можно просто грузить base64 строку

Не желательно. Base64 слишком просто вскрывается автоматикой, достаточно анализа трафика без анализа билда. В случае с шифрованием - не выйдет анализировать полезную нагрузку в трафике без реверса билда и поиска там ключа шифрования.

 

[onek1lo]

Не желательно. Base64 слишком просто вскрывается автоматикой, достаточно анализа трафика без анализа билда. В случае с шифрованием - не выйдет анализировать полезную нагрузку в трафике без реверса билда и поиска там ключа шифрования.

Сам факт передачи триггерит? Никто же не запрещает предварительно поксорить (лол) архив. А ковытять билд и без этого будут, имхо.

 

[Haunt]

Как вариант можно просто грузить base64 строку

Никто же не запрещает предварительно поксорить (лол) архив.

Это уже не просто base64. Чет ты переобулся на ровном месте)

А ковытять билд и без этого будут, имхо.

Я говорю про автоматику. Автоматика умеет снимать base64 и если под ним голый payload, то на основе анализа специфичного для этого бота протокола, пойдёт детект. Если таковые сигнатуры уже имеются в базе.

 

[onek1lo]

Это уже не просто base64. Чет ты переобулся на ровном месте)

Я говорю про автоматику. Автоматика умеет снимать base64 и если под ним голый payload, то на основе анализа специфичного для этого бота протокола, пойдёт детект. Если таковые сигнатуры уже имеются в базе.

Да это блин вроде же очевидно) Чем ни шифруй - главное чтобы на гейте расшивровать смог.

Разрабатываем свой кастомный base64 (инновационный криптостойкий алгоритм). Переворачиваем строку задом на перед, заменяем слешы на равно, а равно на слеши.
А ведь кто то думает что это рофл...