Не так давно мне попалась панелька очередного бота, сделанного на основе TeamViewer. Авторы сего чуда - spyadmin.com (они же vzlomov.com) уже давно в блеках, поэтому можем себе ломать сколько влезет (законом не запрещено и на 95% безопаснее, чем ловить покемонов в церкви).
Структура такая:
Если вкратце:
config.php - подключение к бд, настройки логина/пароля
getinfo.php - гейт для ботов
index.php - сама панель
install.php - редактирование настроек
lang.php - языки.
setcmd.php - отправка команд ботам.
В папках ничего особенного - стили, js, картинки.
SQL-инъекция
Для начала, было решено просмотреть код гейта. Как назло, практически все параметры фильтровались. Разработчик совершил только две ошибки:
Код:
$bot_uniq = $GET["uniq"]; // TV UNIQ
$bot_id = $GET["id"]; // TV ID
//Ошибка №1. Условие могло бы быть и чуть построже.
if(!isset($bot_id) || strlen($bot_id)
Структура такая:
Если вкратце:
config.php - подключение к бд, настройки логина/пароля
getinfo.php - гейт для ботов
index.php - сама панель
install.php - редактирование настроек
lang.php - языки.
setcmd.php - отправка команд ботам.
В папках ничего особенного - стили, js, картинки.
SQL-инъекция
Для начала, было решено просмотреть код гейта. Как назло, практически все параметры фильтровались. Разработчик совершил только две ошибки:
Код:
$bot_uniq = $GET["uniq"]; // TV UNIQ
$bot_id = $GET["id"]; // TV ID
//Ошибка №1. Условие могло бы быть и чуть построже.
if(!isset($bot_id) || strlen($bot_id)
