Добываем Кучу Халявных Отчётов на примере Pinch

[Андрюха]

Не будем углубляться в то, что всем хочется халявных отчётов. Их хотят все.


Сначала (для теории) рассмотрим некриптованный пинч.

Сбилдим ехе'шник с какими-нибудь значениями в поле host и gate, откроем его с помощью WinHex'a. Нам необходимо найти хост, на который трой отсылает отчёты - а так, как сам адрес хоста закодирован двойным base64, его просто так мы не найдём. Нам придётся искать гейт, на который отчёты отправляются. Что ж, хрюкая, жмём crtl+f и ищем фразу

Цитата:

.php

Чуть выше от ссылки на гейт будет закодированный хост.

Скопируем сий хэш, и, чтобы не мучаться с PHP, быстренько расшифруем его Decoder'ом. Вуаля - мы узнали, на какой хост пинч шлёт отчёт.

- Ну хорошо, хост мы узнали, а как же халявные логи? Дай мне логов!
- Самое главное - не ссать. Попытаемся просканировать наш хост программой IntelliTamper скачать.
К примеру, я вот в нашёл линк http://srtjksktrtk.freehostia.com/gate/gate.php. Копирую в адресную строку темпера URL без последнего /gate.php и получаю список папок.
Вы скажете, а что, можно было бы сразу дописывать в конце в адресу /reps/, и мы получаем отчёты. А что, если умный пинчевод в скрипте указал другую папку для сохранения? Не вручную же будете перебирать названия всех папок, верно?

Ы. Ну что теперь, заходим в папку с отчётами и потихонечку их качаем себе на хард.

-------------------------
А вот вариант чуть попроще. Заходим на гугл и пишем в адресной строке один из запросов:

Цитата:

inurl:"/gate.php"
intitle:ret_ok

А ещё можно сначала один, а потом второй написать) Для нас сейчас самое главное - найти гейт. Дальше сканим сайт темпером и кушаем отчёты.



С криптованным пинчем идея абсолютно такая же. Только открывать пинч надо не сразу через винхекс, а сначала запустить его (эй, не забыл сесть под виртуалку и отключиться от инета?). Теперь открываем WinHex и заходим в Инструменты -> Открыть RAM -> [процесс пинча] ->Primary Memory. Ну вот, открылся первоисходный код. Как и в случае с обычным пинчём, жмём Ctrl+F, вводим ".php" и декодируем хост.


PS / Программы, упомянутые в статье:
WinHex
Decoder


® Статья mr.grek