7 Antworten in diesem Thema

[Hekzla]

Credits gehen an

Please Login HERE or Register HERE to see this link!

Stealt

• Mozilla FireFox
• Google Chrome
• Internet Explorer
• Opera
• Safari
• ICQ Lite
• Pidgin
• Miranda
• Trillian
• Yahoo Messenger
• MSN
• AOL
• Paltalk
• Digsby

Informationen
Der Stealer verwendet die Tools von

Please Login HERE or Register HERE to see this link!

!
Allerdings werden die von eurem Server auf dem ihr das Panel habt geladen, und mit einem RunPE gestartet, damit keine der Tools gedropt werden muss. Heißt, man kann ihn Crypten, und er ist Runtime FUD.

Das Panel war mein erstes PHP Projekt, von daher wahrscheinlich alles andere als sicher Vielleicht kann da ja mal jemand drüber schauen und verbesserungen abgeben. Freu mich über jede Anregung.


Builder


Panel





Scan Builder

Please Login HERE or Register HERE to see this link!

Download

Please Login HERE or Register HERE to see this link!

Password

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

Edit: Die Check-Funktion hat noch keine verwendung vergessen zu entfernen.

[hikhack7]

Hallo Hekzla

Hier meine Verbesserungsvorschläge des Panels:

- Du solltest kein mysql_connect, mysql_connect usw. mehr verwenden. Besser ist es, du verwendest

Please Login HERE or Register HERE to see this link!

(Objekt orientiert UND Prozedural verfügbar) oder direkt

Please Login HERE or Register HERE to see this link!

(nur OOP)

- Bei der connect.php solltest du die Daten die du im Panel empfängst, mit POST empfangen und nicht via GET-Parameter. Damit kannst du eine grössere Menge an Daten transportieren. Ausserdem sind da noch Debug-Funktionen drin (echo 'test'; echo $computer;). Hast du wahrscheinlich vergessen zu entfernen. Du kannst, wenn du solche Tests machst auch einfach eine globale Variable definieren (oder via define) und dann in der config diese auf TRUE oder FALSE stellen. Dann passiert sowas nicht.

- Ja, bei der connect.php ist eine SQL Injection möglich, da du die übergebenene Variable $_GET['hwid'] nicht filterst. Du kannst es via mysql_real_escape_string filtern oder eben MySQLi/PDO verwenden mit prepared statements. Das mit der whilte() in der connect.php gefällt mir gar nicht um das Update durchzuführen.

- Die Daten sind eigentlich alle ungefiltert und daher einige SQL Injections und XSS möglich.

- "<INPUT TYPE = "Text" id="txtUser" name="txtUser" width="500px">" sowas löst natürlich recht schnell Augenkrebs aus und ist nicht wirklich schön. Aber das ist eine Kleinigkeit :-)

- Im .sql file hast du der Hardware-ID ein varchar(35) verpasst. Mach doch aus der GUID ein MD5() und speichere es als 32 Zeichen. varchar(32). Computer als TEXT zu speichern ist ein overkill. varchar(255) reicht da denke ich.

- Vielleicht kannst du noch überall eine index.html reinpacken oder ein allgemeines .htacces file um

Please Login HERE or Register HERE to see this link!

zu verhindern.


Hier noch einen Vorschlag für den Stealer:

- Ich würde die Nirsoft-Tools nochmal mit UPX packen. Dann wirds kleiner. Da du es direkt via RunPE lädst, stärt die Entdeckung der AVs ja eh nicht.

Habe ihn nicht getestet.
Nichts desto trotz, schön dass du dein Tool allen zur Verfügung stellst :-) Das waren nur einige Sachen die ich direkt gesehen habe.

Lg

[Hekzla]

Dickes danke Werde ich mich nach der Arbeit gleich dran setzen
Hab das Projekt vor ein paar Wochen angefangen und dann nichts mehr dran gemacht, darum die Test Variablen vergessen

Bearbeitet von Hekzla, 18 May 2014 - 22:02 Uhr.

[Hekzla]

Wurde er schon getestet?

[Iron]

Werde ihn heute mal testen, wenn ich Zeit habe. Verbesserungsvorschläge werden dann hier reineditiert.
#EDIT:
Habe ihn getestet das ganze funktioniert gut, allerdings würde ich mir hier, auch eine Fake-Message wünschen

OT: Warst du mal auf SecuNet aktiv? Denke deinen Namen habe ich da schon mal gesehen meine hast mal paar Tools schon veröffentlicht.

Bearbeitet von Iron, 23 May 2014 - 14:43 Uhr.

[Hekzla]

So, habe das Panel neu gemacht. Hoffe es ist nun besser. Wenn jemand lust hat kann er ja gerne mal drüber schauen. Würde mich freuen!

Please Login HERE or Register HERE to see this link!

Edit: Nö war nicht auf Secunet.

Bearbeitet von Hekzla, 24 May 2014 - 21:20 Uhr.

[Naws]

Datei existiert nicht mehr :/

[Horny]

Werde es mir mal anschauen und die Datei auseinander nehmen und diese auf Viren überprüfen.

MfG