Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Kommunikation Bot <-> Panel

- - - - -

  • Bitte melde dich an um zu Antworten
14 Antworten in diesem Thema

#1
Emalik Xantier

Emalik Xantier

    Pentester

  • Premium Member
  • Likes
    46
  • 113 Beiträge
  • 19 Bedankt
  • Android, Android [root]
  • Windows, Linux

Hallo zusammen

Ich hätte da wiedermal eine Frage.
Wie genau kommuniziert ein Bot mit einem Panel?
Ich nehme an alle Daten werden in eine DB geschrieben und dann im Panel ausgelesen, jedoch wie genau funktioniert es z.B. mit dem Onlinestatus o.Ä.?
Gibt es auch Bots die Live, ohne DB's trotzdem mit dem Panel kommunizieren können?

Entschuldigt diese Fragen, jedoch habe ich so gut wie keine Ahnung in der Bot-programmierung etc.

Danke im Voraus für die Antworten!
Gruss Emxa


42556667.png


Humor ist eines der besten Kleidungsstücke die man tragen kann ʕ•ᴥ•ʔ


#2
Becks

Becks

    Hacktivist

  • Members
  • PIPPIPPIPPIPPIP
  • Likes
    43
  • 56 Beiträge
  • 51 Bedankt

1. Bot wird auf Victim "installiert"

2. Bot "meldet" sich via get / post auf einem php script

2.1 Script trägt bot in Datenbank ein

2.2 falls bot schon in db aktualisiert er die spalte (nennen wir sie mal:) zuletztonline mit dem aktuellen Timestamp der letzten Meldung des Bots beim Script.

3. Botuser sieht nun in einer Tabelle alle seine bots.

3.1 Um zu entscheiden ob ein Bot online oder offline ist, kannst du dir ja eine Zeitdifferenz überlegen. (Hat sich der bot 5 min. nicht gemeldet -> offline, ansonsten online)


  • smc2014 gefällt das

#3
Emalik Xantier

Emalik Xantier

    Pentester

  • Premium Member
  • Likes
    46
  • 113 Beiträge
  • 19 Bedankt
  • Android, Android [root]
  • Windows, Linux

Achso ja das gibt noch Sinn, danke für die Antwort!
Und um zu prüfen ob es auch wirklich der richtige Absender ist wird noch ein definiertes PW mitgeschickt?


42556667.png


Humor ist eines der besten Kleidungsstücke die man tragen kann ʕ•ᴥ•ʔ


#4
Take1T

Take1T

    1337

  • Premium Member
  • Likes
    123
  • 302 Beiträge
  • 45 Bedankt
  • Windows, Linux

Achso ja das gibt noch Sinn, danke für die Antwort!
Und um zu prüfen ob es auch wirklich der richtige Absender ist wird noch ein definiertes PW mitgeschickt?

Jeder Bot erhält eine ID oder in vielen Bots auch Bot-ID oder so ähnlich genannt, welche den Bot dann eindeutig identifiziert.


Bin neu hier, nicht wundern. :D


#5
Emalik Xantier

Emalik Xantier

    Pentester

  • Premium Member
  • Likes
    46
  • 113 Beiträge
  • 19 Bedankt
  • Android, Android [root]
  • Windows, Linux

Naja das schon, vielleicht habe ich die Frage falsch formuliert, meinte ein PW damit niemand vollspamen kann...?


42556667.png


Humor ist eines der besten Kleidungsstücke die man tragen kann ʕ•ᴥ•ʔ


#6
SAR

SAR

    Regelmäßiger Übertreiber

  • Premium Member
  • Likes
    320
  • 394 Beiträge
  • 287 Bedankt
  • 608463167
  • verifiziert

Kommt drauf, ob er Entwickler es implementiert hat oder nicht.

Kann aber auch sein, dass ein guter Entwickler die gesendeten Daten noch verschlüsselt.

 

 

Mfg.

SAR


Eingefügtes Bild


#7
Becks

Becks

    Hacktivist

  • Members
  • PIPPIPPIPPIPPIP
  • Likes
    43
  • 56 Beiträge
  • 51 Bedankt

Ich habe wohl verstanden was du meinst. Du kannst dein Panel durch mehrere Varianten schützen:

 

- Passwort: Hierbei melden sich die Zombies beim Panel und geben, neben ihren eigenen Funktionen, auch noch an einen Parameter (bspw. &pw=123456) ein Passwort. Ist dieses Passwort korrekt werden die Einträge in der DB aktualisiert, ansonsten geschieht nichts.

- User-Agent: Hierbei melden sich die Zombies beim Panel mit einem speziellen UserAgent an, ist dieser korrekt folgt das gleiche wie oben usw.

 

DU kannst und solltest dir etwas einfallen lassen, lass deiner Kreativität freien Lauf und denk dir eine gute Methode aus, damit sich deine Bots sicher im Panel melden können.

Zudem könntest / solltest du den Traffic verschlüsseln!

 

Lg



#8
Emalik Xantier

Emalik Xantier

    Pentester

  • Premium Member
  • Likes
    46
  • 113 Beiträge
  • 19 Bedankt
  • Android, Android [root]
  • Windows, Linux

Bezog mich auf den Beitrag von Take1T ;)

Das mit dem User Agent hört sich intressant an!

 

Was wäre der Vorteil daran die Daten verschlüsselt zu senden? Wer würde denn da dazwischenhören?


42556667.png


Humor ist eines der besten Kleidungsstücke die man tragen kann ʕ•ᴥ•ʔ


#9
juPP

juPP

    Hacker

  • Premium Member
  • Likes
    49
  • 174 Beiträge
  • 61 Bedankt
  • 000000
  • Blackberry
  • Windows, Linux

UserAgent, sowie das Passwort mitzugeben hat genau garkeinen Effekt. Ein neugieriger snifft einfach die anfrage mit und hat somit alles was er braucht. Auch eine verschlüsselte Verbindung macht eigentlich nur sinn wenn sie async ist. Sonst könnte der neugierige auch einfach die bot bin reversen und sich das passwort rausholen :)


... hier könnte Ihre Werbung stehen ;)

#10
Emalik Xantier

Emalik Xantier

    Pentester

  • Premium Member
  • Likes
    46
  • 113 Beiträge
  • 19 Bedankt
  • Android, Android [root]
  • Windows, Linux

Ach wie blöd. Darauf hätte ich auch selbst kommen können... O.O

Okay, danke für die Antwort!


42556667.png


Humor ist eines der besten Kleidungsstücke die man tragen kann ʕ•ᴥ•ʔ


#11
R3s1stanc3

R3s1stanc3

    Hacktivist

  • Premium Member
  • Likes
    22
  • 72 Beiträge
  • 4 Bedankt
  • 687249355
  • Android [root]
  • Linux

Du kannst einen public Key hardcoded in den Bot rein compilen und den priv Key dazu auf dem Server ablegen.

Wenn der Bot sich beim Panel meldet, wird mit dem pub Key verschlüsselt und (vorausgesetzt, du passt gut auf den priv Key auf) niemand kann mitlesen.

Wenn das Panel Befehle an den Bot sendet, werden die mit dem priv Key verschlüsselt und signiert (am besten den Befehl mit timestamp, um zu verhindern, dass ein Paket, das einmal abgefangen wurde, zu einem späteren Zeitpunkt wiederverwendet werden kann, um den selben Befehl ausführen zu lassen). Der Bot entschlüsselt und checkt die Signatur und den Timestamp. Sollte alles korrekt sein, wird der Befehl ausgeführt



#12
Becks

Becks

    Hacktivist

  • Members
  • PIPPIPPIPPIPPIP
  • Likes
    43
  • 56 Beiträge
  • 51 Bedankt

UserAgent, sowie das Passwort mitzugeben hat genau garkeinen Effekt. Ein neugieriger snifft einfach die anfrage mit und hat somit alles was er braucht. Auch eine verschlüsselte Verbindung macht eigentlich nur sinn wenn sie async ist. Sonst könnte der neugierige auch einfach die bot bin reversen und sich das passwort rausholen :)

Traurig aber auch nicht unerwartet, dass das hier auf tb nicht klar ist. Selbstverständlich besitzt der client die Passwörter (Useragent, und das normale PW) unschlüsselt .... Selbstverständlich wird unverschlüsselt übertragen *gibt es ein facepalm emote*?

Aber wobei ich dir durch aus zustimmen muss, ist der Nutzen einer async. Verschlüsselung! Da man sonst irgendwo Keys "storen" müsste, die mehr oder weniger leicht ausgelesen werden können!

 

Mir ist gerade noch eingefallen, dass iret (wenn ich mich recht entsinne) auf secunet ein schönes beispiel des Diffie Hellman Algos vorgestellt hat (Schlüsselaustausch)

Please Login HERE or Register HERE to see this link!


Bearbeitet von Becks, 06 August 2015 - 11:55 Uhr.


#13
R3s1stanc3

R3s1stanc3

    Hacktivist

  • Premium Member
  • Likes
    22
  • 72 Beiträge
  • 4 Bedankt
  • 687249355
  • Android [root]
  • Linux

 

Traurig aber auch nicht unerwartet, dass das hier auf tb nicht klar ist. Selbstverständlich besitzt der client die Passwörter (Useragent, und das normale PW) unschlüsselt .... Selbstverständlich wird unverschlüsselt übertragen *gibt es ein facepalm emote*?

 

Mir ist gerade noch eingefallen, dass iret (wenn ich mich recht entsinne) auf secunet ein schönes beispiel des Diffie Hellman Algos vorgestellt hat (Schlüsselaustausch)

Please Login HERE or Register HERE to see this link!

 

DH alleine bringt auch nicht sonderlich viel. Ein Man in the Middle könnte den Keyexchange manipulieren und mit Server und Client unterschiedliche Sessions starten und durchleiten. Du brauchst schon in irgendeiner Form einen hardcoded Key, mit dem der Client den Server 100%ig identifizieren kann



#14
Becks

Becks

    Hacktivist

  • Members
  • PIPPIPPIPPIPPIP
  • Likes
    43
  • 56 Beiträge
  • 51 Bedankt

Naja zwei Werte musst du am Anfang sowieso wählen (g und p, wenn man nach orig. Definition geht), aber um diese geht es ja in der Keyübergabe nicht direkt! Deinen neu errechneten Schlüssel, den Host und Client errechneten, nutzt du.

 

Aber ich verstehe dein Anliegen, mein bester ^^ haben lang nicht mehr geschrieben btw. Wie liefen Prüfungen ^^



#15
R3s1stanc3

R3s1stanc3

    Hacktivist

  • Premium Member
  • Likes
    22
  • 72 Beiträge
  • 4 Bedankt
  • 687249355
  • Android [root]
  • Linux

DH und Signatur über einen asymmetrisch verschlüsselten Communikationskanal. Dann hat man auch Perfect Forward Secrecy.

Prüfungen liefen bis auf eine erstaunlich gut ;) Schreib mal, wenn du wieder in Jabber bist





  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 59 user(s)


    Alsuna, Ar@m!s, B1nary, Becks, BlackZetsu, Bloodman, Born2Hack, Bot4ng, breidi59, bumg2, Bypass, Caruso, corkscrew, cr0ssload, Crap, Crowx88, Cube, cX., dev-0, easysurfer, Emalik Xantier, FalkE, Framerater, frechdax, gtawelt, gutzuu, Izon, juPP, Juri, Kaban, keyb0ardz, Kryptonit, lNobodyl, mantwohouse, mdwd, Mk3E, most_uniQue, n1nja, Neonxen, nibble nibble, notfound, o0o, PHIPU, R3s1stanc3, SAR, Slixer, smc2014, sniffer, snippa, Stanley, superuser123, Take1T, teekoppe, ueEqlL, vital, xmmlegends, xrahitel, xxas, zepsus
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.