Tweet
Hi.
O projeto WeBaCoo é uma pequena phpshell que recebe os dados através de cookies. A tool, feita em Perl, gera o código da phpshell e também conecta nos hosts remotos.
A utilização do aplicativo é bastante simples. O help da tool é ótimo (parâmetro -h) e então podemos ver uma porrada de opções muito úteis no dia a dia.
Vou demonstrar com um exemplo aqui em localhost. Primeiro, irei gerar o código da phpshell que ficará no servidor onde vou conectar:
O projeto WeBaCoo é uma pequena phpshell que recebe os dados através de cookies. A tool, feita em Perl, gera o código da phpshell e também conecta nos hosts remotos.
A utilização do aplicativo é bastante simples. O help da tool é ótimo (parâmetro -h) e então podemos ver uma porrada de opções muito úteis no dia a dia.
Vou demonstrar com um exemplo aqui em localhost. Primeiro, irei gerar o código da phpshell que ficará no servidor onde vou conectar:
Hmmmmm… Gerou um backdoor com eval e base 64. Uma técnica básica de ofuscação. Dependendo do caso, o servidor alvo pode ter bloqueado uma função que executa comandos. Fui querer usar a função passthru() ao invés de system(). Burro que sou, troquei o eval() por echo e editei manualmente.
Depois que vi que já há um parâmetro para aplicar outros tipos de funções (-f), e outro parâmetro pra não utilizar a ofuscação com base 64 (-r).
Escolhi a opção 4 que no caso é a função passthru(), mas no help da ferramenta há a lista de funções que podem ser utilizadas no gerador.
Após fazer o upload da phpshell gerada pela tool no alvo, fazemos a conexão pelo próprio script.
Oh, shit! I was hacked! ;’(
– Mas Junior, se eu não usar conexão reversa, tudo fica gravado nos logs do web server!!!
Vamos dar uma olhada nos meus logs do Apache e ver se os comandos que dei na shell estão lá?
This! Os comandos são passados pelo http header Cookie ao invés de GET ou POST. Além de não aparecer nos logs, isso pode burlar um IDS/IPS conforme a sua configuração.
Assim, temos uma phpshell pequena, oculta e de fácil acesso que podemos alocar em qualquer arquivo do webroot.
O projeto pode ser encontrado no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e o download do projeto zipado pode ser feito Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Referência: unsecurity.com.br
[]'s
