8 Antworten in diesem Thema

[Cube]

Hey Leute,

Ich möchte euch einmal einen Vorgeschmack auf das zukünftige Webpanel meines Stealers geben.
Bitte keine Fragen wie "Wie setz ich das Panel auf?" oder "Was ruf ich das nun auf"?
Es wird public gemacht um Bugs zu finden, Meinungen kundzutun und vielleicht Lücken zu finden und nicht um Scriptkiddies zu fördern

Nennenswerte Funktionen:

• Login/Logout System
• Exportieren der Logs
• Duplikate werden automatisch gelöscht *Hot*
• Dynamische Suchefunktion für spezifische Logs

Sieht wie folgt aus zur Zeit:

Please Login HERE or Register HERE to see this link!

Anleitung für die Installation des Panels:

• Webspace muss vorhanden sein inkls. Mysql (zum Testen eignet sich das Programm XAMPP auf dem Lokalhost!)
• install.php aufrufen und Anleitung befolgen, fertig!

Prinzipiell behindertengerecht, wenns keine Noobfragen sind helfe ich dennoch gerne.

Wieso mache ich es public?
Ich würde mich über eure Meinung & Verbesserungsvorschläge freuen.
Seien es nun kleine Bugs/Schönheitsfehler (wobei daran noch gearbeitet wird!) oder generelle Lücken.
Desweiteren sind auch Zusatzfunktionen prinzipiell kein Problem, wenn gewünscht.
Mit anderen Worten will ich wissen was ihr davon haltet und was man daran verbessern kann.

Besondere Grüße gehen hierbei an @

Please Login HERE or Register HERE to see this link!

PS: Ich hau das ganze bewusst hinter kein Hide weil ich von EUCH etwas brauche.

[most_uniQue]

Nach Gespräch mit Cube mal hier ein kleines aber feines Feedback zu diesem wunderbarem Webpanel.
Das Design ist schlicht, es wirkt nicht zu überladen, etc. Alles in allem ein super Design und schöne Struktur.
Hier nochmal ein großes Danke auch von meiner Seite an sub0 und B1nary, die dieses Webpanel möglich gemacht haben.

Wünsche/Verbesserungen/Fehler bzw Macken:
1. Wünsche ich mir ein nettes Favico .png' class='bbc_emoticon' alt='^^' />
2. Ansprechendere Install.php ( Cube meinte schon, dass es verbessert wird )
3. Der Error mit dem leerem Entry direkt nach der Erstinstallation.
4. Wenn sowas möglich ist eventuelle Fehlermeldungen ( für Neulinge, Unerfahrene, etc ) wie " You have an Error on Line 32.. bla bla " etc vllt zu erklären. D.h Ich stell mir das so vor, "You have an Error on Line 32..... check your bla bla " ----> heißt für dich, checke bitte deine SQL-Daten oder so. Ich glaube das wäre zuviel Aufwand aber dennoch nützlich.
5. Vielleicht ein Englisch-Deutsch-Switch für bessre Verständlichkeit bei vielleicht manchen Usern.
6. Sicherheitschecks für iwelche Lücken konnte ich jetzt nicht durchführen aber ich denke bzw hoffe, dass dies ein anderer User nachholen wird.

Bis jetzt Super Arbeit Jungs !

lg
most_uniQue

[L0rdz]

Ich konnte jetzt im schnell Test von 10min nur eine kleine Lücke ausfindig machen. Und zwar eine XSS wenn man den Login Namen in zb "><script>alert(1);</script> ändert wird der HTML Code nicht escaped.

[xdarkkingx]

Eine kleine Frage habe ich...
Wie kann man den Bot/Tool in Verbindung mit dem Panel bringen ?

[most_uniQue]

Naja im Stealer wird es dann schon die Entsprechenden Connection-Einstellungen geben @xdarkkingx.

[juPP]

Mein Feedback zu dem Panel:

1. @$_GET['action'] -> nach meinem empfinden sehr hässlich, lieber 2 zeilen mehr und ein isset check....
2. content.php, Zeile 99 -> Es wird nie geprüft ob $_GET['id'] überhaupt gesetzt ist ... provoziert im schlimmsten Fall ne PDO Exception
3. Man sollte den Ordner export am besten mit einer htaccess sperren, da man sonst direkten Zugriff auf diesen hat.
4. Warum werden die Daten base64 kodiert in der DB gespeichert?
5. Es scheint noch keine verschlüsselte Übertragung der Daten zu geben (insert.php : ?software=ARG1&protocol=ARG2&username=ARG3&password=ARG4&computer=ARG5)
6. Wenn man nach der installation die insert.php aufruft wird ein Leereintrag gemacht.
7. Es wird nicht gepüruft ob ein aufruf der insert.php auch von einem "bot" stammt...
8. $_POST Daten werden nicht escapet (insert.php)

Durch Punkt 5,7,8 ist eine persistente XSS möglich:

[Cube]

Nach Gespräch mit Cube mal hier ein kleines aber feines Feedback zu diesem wunderbarem Webpanel.
Das Design ist schlicht, es wirkt nicht zu überladen, etc. Alles in allem ein super Design und schöne Struktur.
Hier nochmal ein großes Danke auch von meiner Seite an sub0 und B1nary, die dieses Webpanel möglich gemacht haben.

Wünsche/Verbesserungen/Fehler bzw Macken:
1. Wünsche ich mir ein nettes Favico 2. Ansprechendere Install.php ( Cube meinte schon, dass es verbessert wird )
3. Der Error mit dem leerem Entry direkt nach der Erstinstallation.
4. Wenn sowas möglich ist eventuelle Fehlermeldungen ( für Neulinge, Unerfahrene, etc ) wie " You have an Error on Line 32.. bla bla " etc vllt zu erklären. D.h Ich stell mir das so vor, "You have an Error on Line 32..... check your bla bla " ----> heißt für dich, checke bitte deine SQL-Daten oder so. Ich glaube das wäre zuviel Aufwand aber dennoch nützlich.
5. Vielleicht ein Englisch-Deutsch-Switch für bessre Verständlichkeit bei vielleicht manchen Usern.
6. Sicherheitschecks für iwelche Lücken konnte ich jetzt nicht durchführen aber ich denke bzw hoffe, dass dies ein anderer User nachholen wird.

Bis jetzt Super Arbeit Jungs !

lg
most_uniQue

Favicon wird gemacht. Außerdem kommt vlt noch ein größerer Header oben drauf
Der leere Entry ist mir bekannt und wird behoben.
Bessere Fehlerverständnis ist in der Hinsicht echt zu mühsam. Wer das nicht aufgesetzt bekommt, sollte auch die Finger davon lassen
Da der Stealer komplett auf English sein wird, wird das Panel auch English sein. Eine Deutsche Variante war nicht geplant, aber ich denk darüber nach.

Danke fürs Feedback!

Ich konnte jetzt im schnell Test von 10min nur eine kleine Lücke ausfindig machen. Und zwar eine XSS wenn man den Login Namen in zb "><script>alert(1);</script> ändert wird der HTML Code nicht escaped.

Gebe ich sofort weiter! Danke dir.

Eine kleine Frage habe ich...
Wie kann man den Bot/Tool in Verbindung mit dem Panel bringen ?

Das Panel kannst du entweder selbst nutzen wenn du einen Stealer schreibst, oder du wartest bis meiner released wird.
Dies ist lediglich das Panel dazu.

Naja im Stealer wird es dann schon die Entsprechenden Connection-Einstellungen geben @xdarkkingx.

Wie bei jedem anderen Stealer mit Panel auch, wird man lediglich die Adresse eintragen müssen.
Ein Connection-Test ist im Stealer integriert

Mein Feedback zu dem Panel:

1. @$_GET['action'] -> nach meinem empfinden sehr hässlich, lieber 2 zeilen mehr und ein isset check....
2. content.php, Zeile 99 -> Es wird nie geprüft ob $_GET['id'] überhaupt gesetzt ist ... provoziert im schlimmsten Fall ne PDO Exception
3. Man sollte den Ordner export am besten mit einer htaccess sperren, da man sonst direkten Zugriff auf diesen hat.
4. Warum werden die Daten base64 kodiert in der DB gespeichert?
5. Es scheint noch keine verschlüsselte Übertragung der Daten zu geben (insert.php : ?software=ARG1&protocol=ARG2&username=ARG3&password=ARG4&computer=ARG5)
6. Wenn man nach der installation die insert.php aufruft wird ein Leereintrag gemacht.
7. Es wird nicht gepüruft ob ein aufruf der insert.php auch von einem "bot" stammt...
8. $_POST Daten werden nicht escapet (insert.php)

Durch Punkt 5,7,8 ist eine persistente XSS möglich:

Danke vielmals für die ausführliche Fehlerbeschreibungen.
Ich werde diese sofort weitergeben.

Zu deiner Frage 4. & 5.
Die Daten werden vom Stealer in base64 codierung an das Script geschickt und dort eingetragen.
Anschließend wieder decodiert.

Danke an alle, ich werd darauf natürlich eingehen!.

Lg
Cube

[hikhack7]

:-D Ja B1nary hat PDO implementiert und es etwas verfeinert. Er könnte es natürlich besser (das weiss ich) aber dann würde das Panel mehr Arbeit mit sich bringen als der Stealer selber. Weil von strukturiertem und sicherem Code kann man da natürlich nicht reden.

Trotzdem schön, dass sich etwas tut mit dem Projekt ;-)
Weiter so, Cube.

[Cube]

So.
@

Please Login HERE or Register HERE to see this link!

PS:
#1Downloadlink wurde auch im StartThread editiert!
#2 Ein kleiner anderer Bug ist entstanden: Einige neue EInträge werden abgekürzt. Fehler ist bekannt und wird sobald wie möglich gefixxed.

EDIT: Fehler bezüglich des Abschneidens der Strings wurde schon wieder behoben. Link fixxed. VIel Spaß!

Lg
Cube

Bearbeitet von Cube, 07 August 2014 - 16:59 Uhr.