Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

[Cube Stealer] PHP-Webpanel

- - - - -

  • Bitte melde dich an um zu Antworten
8 Antworten in diesem Thema

#1
Cube

Cube

    Würfel

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    7
  • 819 Beiträge
  • 1062 Bedankt
  • Android, Android [root]
  • Windows, Linux
Hey Leute,

Ich möchte euch einmal einen Vorgeschmack auf das zukünftige Webpanel meines Stealers geben.
Bitte keine Fragen wie "Wie setz ich das Panel auf?" oder "Was ruf ich das nun auf"?
Es wird public gemacht um Bugs zu finden, Meinungen kundzutun und vielleicht Lücken zu finden und nicht um Scriptkiddies zu fördern :-x

Nennenswerte Funktionen:
  • Login/Logout System
  • Exportieren der Logs
  • Duplikate werden automatisch gelöscht *Hot*
  • Dynamische Suchefunktion für spezifische Logs
Sieht wie folgt aus zur Zeit:

Please Login HERE or Register HERE to see this link!



Anleitung für die Installation des Panels:
  • Webspace muss vorhanden sein inkls. Mysql (zum Testen eignet sich das Programm XAMPP auf dem Lokalhost!)
  • install.php aufrufen und Anleitung befolgen, fertig!
Prinzipiell behindertengerecht, wenns keine Noobfragen sind helfe ich dennoch gerne.

Wieso mache ich es public?
Ich würde mich über eure Meinung & Verbesserungsvorschläge freuen.
Seien es nun kleine Bugs/Schönheitsfehler (wobei daran noch gearbeitet wird!) oder generelle Lücken.
Desweiteren sind auch Zusatzfunktionen prinzipiell kein Problem, wenn gewünscht.
Mit anderen Worten will ich wissen was ihr davon haltet und was man daran verbessern kann.

Besondere Grüße gehen hierbei an @

Please Login HERE or Register HERE to see this link!




PS: Ich hau das ganze bewusst hinter kein Hide weil ich von EUCH etwas brauche.
  • PaulaAbdul, Framerater, Schakal und 4 anderen gefällt das

Jabber: cube@exploit.im

Only with OTR!

 

HQ Password-Recovery-Tool (Browser, Mail uvm.): TripleCCC


Thanked by 5 Members:
foris.b , kpakpando , Framerater , »Ĵura , Schakal

#2
most_uniQue

most_uniQue

    AV Agent

  • Premium Member
  • Likes
    228
  • 478 Beiträge
  • 500 Bedankt
  • iPhone
  • Windows, Linux, Mac OS
Nach Gespräch mit Cube mal hier ein kleines aber feines Feedback zu diesem wunderbarem Webpanel.
Das Design ist schlicht, es wirkt nicht zu überladen, etc. Alles in allem ein super Design und schöne Struktur.
Hier nochmal ein großes Danke auch von meiner Seite an sub0 und B1nary, die dieses Webpanel möglich gemacht haben.

Wünsche/Verbesserungen/Fehler bzw Macken:
1. Wünsche ich mir ein nettes Favico ^^.png' class='bbc_emoticon' alt='^^' />
2. Ansprechendere Install.php ( Cube meinte schon, dass es verbessert wird )
3. Der Error mit dem leerem Entry direkt nach der Erstinstallation.
4. Wenn sowas möglich ist eventuelle Fehlermeldungen ( für Neulinge, Unerfahrene, etc ) wie " You have an Error on Line 32.. bla bla " etc vllt zu erklären. D.h Ich stell mir das so vor, "You have an Error on Line 32..... check your bla bla " ----> heißt für dich, checke bitte deine SQL-Daten oder so. Ich glaube das wäre zuviel Aufwand aber dennoch nützlich.
5. Vielleicht ein Englisch-Deutsch-Switch für bessre Verständlichkeit bei vielleicht manchen Usern.
6. Sicherheitschecks für iwelche Lücken konnte ich jetzt nicht durchführen aber ich denke bzw hoffe, dass dies ein anderer User nachholen wird.

Bis jetzt Super Arbeit Jungs !

lg
most_uniQue
  • ice, Cube und sub0 gefällt das

Eingefügtes Bild


#3
L0rdz

L0rdz

    Noob

  • Members
  • PIPPIP
  • Likes
    2
  • 14 Beiträge
  • 0 Bedankt
Ich konnte jetzt im schnell Test von 10min nur eine kleine Lücke ausfindig machen. Und zwar eine XSS wenn man den Login Namen in zb "><script>alert(1);</script> ändert wird der HTML Code nicht escaped.

#4
xdarkkingx

xdarkkingx

    Noob

  • Members
  • PIPPIP
  • Likes
    1
  • 14 Beiträge
  • 2 Bedankt
Eine kleine Frage habe ich...
Wie kann man den Bot/Tool in Verbindung mit dem Panel bringen ?

#5
most_uniQue

most_uniQue

    AV Agent

  • Premium Member
  • Likes
    228
  • 478 Beiträge
  • 500 Bedankt
  • iPhone
  • Windows, Linux, Mac OS
Naja im Stealer wird es dann schon die Entsprechenden Connection-Einstellungen geben @xdarkkingx.

Eingefügtes Bild


#6
juPP

juPP

    Hacker

  • Premium Member
  • Likes
    49
  • 174 Beiträge
  • 61 Bedankt
  • 000000
  • Blackberry
  • Windows, Linux
Mein Feedback zu dem Panel:

1. @$_GET['action'] -> nach meinem empfinden sehr hässlich, lieber 2 zeilen mehr und ein isset check....
2. content.php, Zeile 99 -> Es wird nie geprüft ob $_GET['id'] überhaupt gesetzt ist ... provoziert im schlimmsten Fall ne PDO Exception
3. Man sollte den Ordner export am besten mit einer htaccess sperren, da man sonst direkten Zugriff auf diesen hat.
4. Warum werden die Daten base64 kodiert in der DB gespeichert?
5. Es scheint noch keine verschlüsselte Übertragung der Daten zu geben (insert.php : ?software=ARG1&protocol=ARG2&username=ARG3&password=ARG4&computer=ARG5)
6. Wenn man nach der installation die insert.php aufruft wird ein Leereintrag gemacht.
7. Es wird nicht gepüruft ob ein aufruf der insert.php auch von einem "bot" stammt...
8. $_POST Daten werden nicht escapet (insert.php)

Durch Punkt 5,7,8 ist eine persistente XSS möglich:
  • Schakal und sub0 gefällt das
... hier könnte Ihre Werbung stehen ;)

Thanked by 1 Member:
Cube

#7
Cube

Cube

    Würfel

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    7
  • 819 Beiträge
  • 1062 Bedankt
  • Android, Android [root]
  • Windows, Linux

Nach Gespräch mit Cube mal hier ein kleines aber feines Feedback zu diesem wunderbarem Webpanel.
Das Design ist schlicht, es wirkt nicht zu überladen, etc. Alles in allem ein super Design und schöne Struktur.
Hier nochmal ein großes Danke auch von meiner Seite an sub0 und B1nary, die dieses Webpanel möglich gemacht haben.

Wünsche/Verbesserungen/Fehler bzw Macken:
1. Wünsche ich mir ein nettes Favico 2. Ansprechendere Install.php ( Cube meinte schon, dass es verbessert wird )
3. Der Error mit dem leerem Entry direkt nach der Erstinstallation.
4. Wenn sowas möglich ist eventuelle Fehlermeldungen ( für Neulinge, Unerfahrene, etc ) wie " You have an Error on Line 32.. bla bla " etc vllt zu erklären. D.h Ich stell mir das so vor, "You have an Error on Line 32..... check your bla bla " ----> heißt für dich, checke bitte deine SQL-Daten oder so. Ich glaube das wäre zuviel Aufwand aber dennoch nützlich.
5. Vielleicht ein Englisch-Deutsch-Switch für bessre Verständlichkeit bei vielleicht manchen Usern.
6. Sicherheitschecks für iwelche Lücken konnte ich jetzt nicht durchführen aber ich denke bzw hoffe, dass dies ein anderer User nachholen wird.

Bis jetzt Super Arbeit Jungs !

lg
most_uniQue


Favicon wird gemacht. Außerdem kommt vlt noch ein größerer Header oben drauf ;)
Der leere Entry ist mir bekannt und wird behoben.
Bessere Fehlerverständnis ist in der Hinsicht echt zu mühsam. Wer das nicht aufgesetzt bekommt, sollte auch die Finger davon lassen :P
Da der Stealer komplett auf English sein wird, wird das Panel auch English sein. Eine Deutsche Variante war nicht geplant, aber ich denk darüber nach.

Danke fürs Feedback!

Ich konnte jetzt im schnell Test von 10min nur eine kleine Lücke ausfindig machen. Und zwar eine XSS wenn man den Login Namen in zb "><script>alert(1);</script> ändert wird der HTML Code nicht escaped.


Gebe ich sofort weiter! Danke dir.

Eine kleine Frage habe ich...
Wie kann man den Bot/Tool in Verbindung mit dem Panel bringen ?


Das Panel kannst du entweder selbst nutzen wenn du einen Stealer schreibst, oder du wartest bis meiner released wird.
Dies ist lediglich das Panel dazu.

Naja im Stealer wird es dann schon die Entsprechenden Connection-Einstellungen geben @xdarkkingx.


Wie bei jedem anderen Stealer mit Panel auch, wird man lediglich die Adresse eintragen müssen.
Ein Connection-Test ist im Stealer integriert ;)

Mein Feedback zu dem Panel:

1. @$_GET['action'] -> nach meinem empfinden sehr hässlich, lieber 2 zeilen mehr und ein isset check....
2. content.php, Zeile 99 -> Es wird nie geprüft ob $_GET['id'] überhaupt gesetzt ist ... provoziert im schlimmsten Fall ne PDO Exception
3. Man sollte den Ordner export am besten mit einer htaccess sperren, da man sonst direkten Zugriff auf diesen hat.
4. Warum werden die Daten base64 kodiert in der DB gespeichert?
5. Es scheint noch keine verschlüsselte Übertragung der Daten zu geben (insert.php : ?software=ARG1&protocol=ARG2&username=ARG3&password=ARG4&computer=ARG5)
6. Wenn man nach der installation die insert.php aufruft wird ein Leereintrag gemacht.
7. Es wird nicht gepüruft ob ein aufruf der insert.php auch von einem "bot" stammt...
8. $_POST Daten werden nicht escapet (insert.php)

Durch Punkt 5,7,8 ist eine persistente XSS möglich:


Danke vielmals für die ausführliche Fehlerbeschreibungen.
Ich werde diese sofort weitergeben.

Zu deiner Frage 4. & 5.
Die Daten werden vom Stealer in base64 codierung an das Script geschickt und dort eingetragen.
Anschließend wieder decodiert.

Danke an alle, ich werd darauf natürlich eingehen!.

Lg
Cube

Jabber: cube@exploit.im

Only with OTR!

 

HQ Password-Recovery-Tool (Browser, Mail uvm.): TripleCCC


Thanked by 1 Member:
xdarkkingx

#8
hikhack7

hikhack7

    Hacktivist

  • Members
  • PIPPIPPIPPIPPIP
  • Likes
    58
  • 63 Beiträge
  • 77 Bedankt
:-D Ja B1nary hat PDO implementiert und es etwas verfeinert. Er könnte es natürlich besser (das weiss ich) aber dann würde das Panel mehr Arbeit mit sich bringen als der Stealer selber. Weil von strukturiertem und sicherem Code kann man da natürlich nicht reden.

Trotzdem schön, dass sich etwas tut mit dem Projekt ;-)
Weiter so, Cube.
  • ice und Cube gefällt das

Wissen ist Macht.


#9
Cube

Cube

    Würfel

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    7
  • 819 Beiträge
  • 1062 Bedankt
  • Android, Android [root]
  • Windows, Linux
So.
@

Please Login HERE or Register HERE to see this link!



PS:
#1Downloadlink wurde auch im StartThread editiert!
#2 Ein kleiner anderer Bug ist entstanden: Einige neue EInträge werden abgekürzt. Fehler ist bekannt und wird sobald wie möglich gefixxed.

EDIT: Fehler bezüglich des Abschneidens der Strings wurde schon wieder behoben. Link fixxed. VIel Spaß!

Lg
Cube

Bearbeitet von Cube, 07 August 2014 - 16:59 Uhr.

  • ice und Schakal gefällt das

Jabber: cube@exploit.im

Only with OTR!

 

HQ Password-Recovery-Tool (Browser, Mail uvm.): TripleCCC




  Thema Forum Themenstarter Statistik Letzter Beitrag

Dieses Thema wurde von 51 Mitglied(ern) gelesen


    3rr0r!st, Avni, B1nary, bebekid32, BlackZetsu, Bloodman, Bot4ng, Bypass, ByteLSX, ByteLSX, Caruso, cayra, cubik, Dean36, exsize, funstyler, gabbatekker, god001, Jack_Frost, Julius K9, Junckie, kevin, kiwitone, LarSep, linkhdub, Lopus, nibble nibble, nikita, notfound, old_panther, prto, PyTh@n, QwErTyYyY, RazoR', S4lent, scrack, shizzle23, Snapfish, Stalin, sunrise, superuser123, thunfisch, timi257, Uomo, vhrut, x1z0ng, xDexxtR, xmmlegends, xxxsmackxxx, Z3LuX, Zerobyte
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.