Взлом обменника
Soviet_Sky
Что отличает наш канал от остальных? Гласность! Наличие чата автоматически обязывает нести ответственность за наш контент. Работу прислал подписчик пожелавший остаться неназванным.
Предисловие
Крипта снова на хайпе особенно там где нужна анонимность - в дарке. Однажды, захотелось мне проверить обменник, называющий себя полностью анонимным и децентрализованным.
Я часто не верю в такие слова, поэтому решил поменять довольно маленькую для меня сумму - 60$ в BTC.
Захожу в обменник, заливаю деньжат со своего Qiwi. После проведения оплаты, меня выкидывает с аккаунта, а при повторной авторизации показывает ошибку: логин и/или пароль введен неправильно. Я начинаю подозревать скам...
Момент истины! Для начала посмотрим здесь https://2ip.ru/whois/ инфу о домене.
На момент взлома домен был зарегистрирован два месяца назад. Из этого, я окончательно убедился, что обменник - скам. Такое я не люблю, поэтому решил наказать создателя. Для начала нужно было понять, что как и где находится. Поэтому для начала я просканировал ip с помощью nmap.
Брутить ssh не имело никакого смысла, так как на это могло уйти большое количество времени. У создателя этой хуйни был жирный косяк - админка находилась по адресу: https://доменобменника/admin.php
Отлично! Подарок богов! Даже Dirbuster юзать не пришлось. Нашли админку. Проверил вручную на SQLi, введя: 1' or '1 с помощью которой я получил доступ к админке сайта, в которой прописываются BTC и другие кошельки.
Что я сделал? Правильно, подменил кошельки. Держались они там 3 дня и окупили все мои потери (заработал около 250$). На этом я не остановился.
На этом же обменнике были статьи о том, как пользоваться биткоином и другой криптой. А значит должна была быть система управления контентом. Результат, не оставил себя ждать и я вышел на самописную CMS с возможностью загрузки картинки.
Тут же возникла идея об уязвимости File Upload. Поэтому я с помощью weevely сгенерировал шелл для сайта. ./weevely.py generate mypassword ~/shell.php
Шелл успешно сгенерировался, осталось залить его на сервер. Для этого я использовал Burp Suite. Настроив браузер на прокси
Залил shell.php.jpg на какую-то статью, подменил расширение через Burp Suite, все сработало. Файл был успешно залит, а это значило, что я имею доступ к серверу.
На сервере посмотрел логи, нашел один и тот же ip. А так же пару личных файлов. Как оказалось, это были ip и файлы собственника скам-обменника. При этом заходил он с обычного своего ip адреса (РУ), поэтому на 2ip посмотрел провайдера и где это находится. Так я почти сдеанонил собственника обменника. Дальше в одном из личных файлов я нашел дамп переписки с разработчиком сайта. Общались они в Jabber.
Все эти файлы я задампил себе на ПК и на всякий случай почистил логи на сервере.
В этой переписке я увидел 2 никнейма: программиста и заказчика. Пробил никнейм на pipl.com. Нашел страницу в facebook и ВК. В вк увидел, что он часто сидит с Android. Вспомнил что у меня есть самописная малварь под андроид, а-ля ведроидовский RAT.
Что дальше? А теперь немного СИ. Нашел аккаунт жены скамера, с помощью фишинга и СИ поломал ее страницу в ВК. Изучил стиль письма жены и то, о чем они болтают. Оказалось, жена работает бухгалтером в какой-то компании. В истории посещений страницы я определил ее устройство, которое было на базе андроид.
Жду момента, когда ее муж (скамер) зайдет в онлайн и пишу ему письмо с текстом:
"Андрюш, очень нужна твоя помощь. Мария Алексеевна (это ее начальница) сказала всем сотрудникам установить приложение на телефоны, а у меня что-то не хочет устанавливаться. Попробуй у себя. Это очень важно! "
Скидываю ему свой троянец. Так я получил доступ к его камере, сделал пару фоток, микрофону, записав несколько его разговоров, а также доступ к холодному кошельку на Андроиде.
На одном кошельке он держал около 6к зелени, которую я слил. Просто, пароль на приложение надо ставить сложный, а не 1234 (*демонический смех*)
Итого, после того, как я поменял кошельки на обменнике, слил его деньги, собрав на него инфу, пришла идея шантажа.
Написал, объяснил, что он тупой мудак, кого он кинул и т.п. Попросил глянуть в его криптокошелек, скинул его разговоры и фото.
Сказать что он охуел от всей проделаной работы - ничего не сказать. Я потребовал с него 500$. За молчание и моральный ущерб. Дал ему три часа, иначе об этом узнают все его друзья, коллеги, жена и не только, он очень быстро нашел деньги и скинул мне их.
Чувствуешь пальчик? А ручки-то вот они!
Итоги
Я поимел с него около 6,5k$ в крипте. Делайте все с умом, не оставляйте на подобных проектах своих файлов, а то за вами приду я.
Хочу порекомендовать самый лучший обменник - qbtc_bot с приветственным бонусом! Всем успехов!
