В этой статье мы рассмотрим эксплоиты для массового взлома сайтов через критические уязвимости. Для начала давайте разберемся, что же мы сможем сделать загрузив вредоносный код на скомпрометированные сайты ? Распространить вредоносное ПО. Похитить информацию. Создать ботнет. Показывать пользователю рекламу. Итак, давайте рассмотрим уязвимости в движке wordpress. уязвимость плагина REVSLIDER привела К заражению 100000 wordpress сайтов новым вирусом.крупная уязвимость в WordPress и Drupal может положить сайт. Несмотря на то, что уязвимости довольно старые, многие сайты остаются непропатченными. В статье про DeadCrush были просьбы реализовать доставку бота на уязвимый сервер. Чтобы не рассматривать каждый эксплоит по отдельности, их реализовали в одной программе. Вот, что мы будем делать: Запустим DeadCrush -> выберем эксплоит -> отдадим команду на взлом сайта -> загрузим бэкдор-> отдадим команду бэкдору на взлом следующего сайта. Ссылки на эксплоиты: Revslider - https://github.com/googleinurl/WORDPRESS-Revslider-Exploit-0DAY xmlrpc - https://github.com/El3ct71k/WordPress-XMLRPC-*****Force-PoC/blob/master/wpbruteforce.php Для начала рассмотрим *****force админ панели и Revslider. Запустим DeadCrush и выберем admin *****: Бот загрузит php скрипт: Вот подробное видео, как ****ить с помощью данного инструмента: Теперь рассмотрим Revslider. Уязвимые сайты можно найти **** в гугл: inurl:admin-ajax.php?action=revslider_show_image -intext:"revslider_show_image. Программа выдаст пустое окно. В строке url введите: ?files=<имя файла> или ?target<сайт>. Также программа поддерживает proxy. Ссылка: КЛИК Видео: Вот и все #моя статья
А можно пожалуйста два вопроса. 1. Как определить какой сайт можно хакнуть через эту прогу. 2. На первом скрине есть режим DDOS. Как он действует? И вообще годно ли?