Hi.
O projeto WeBaCoo é uma pequena phpshell que recebe os dados através de cookies. A tool, feita em Perl, gera o código da phpshell e também conecta nos hosts remotos.
A utilização do aplicativo é bastante simples. O help da tool é ótimo (parâmetro -h) e então podemos ver uma porrada de opções muito úteis no dia a dia.
![](http://unsecurity.com.br/wp-content/uploads/webacoo.png)
Vou demonstrar com um exemplo aqui em localhost. Primeiro, irei gerar o código da phpshell que ficará no servidor onde vou conectar:
O projeto WeBaCoo é uma pequena phpshell que recebe os dados através de cookies. A tool, feita em Perl, gera o código da phpshell e também conecta nos hosts remotos.
A utilização do aplicativo é bastante simples. O help da tool é ótimo (parâmetro -h) e então podemos ver uma porrada de opções muito úteis no dia a dia.
![](http://unsecurity.com.br/wp-content/uploads/webacoo.png)
Vou demonstrar com um exemplo aqui em localhost. Primeiro, irei gerar o código da phpshell que ficará no servidor onde vou conectar:
![](http://unsecurity.com.br/wp-content/uploads/webacoo1.png)
Hmmmmm… Gerou um backdoor com eval e base 64. Uma técnica básica de ofuscação. Dependendo do caso, o servidor alvo pode ter bloqueado uma função que executa comandos. Fui querer usar a função passthru() ao invés de system(). Burro que sou, troquei o eval() por echo e editei manualmente.
Depois que vi que já há um parâmetro para aplicar outros tipos de funções (-f), e outro parâmetro pra não utilizar a ofuscação com base 64 (-r).
![](http://unsecurity.com.br/wp-content/uploads/webacoo2.png)
Escolhi a opção 4 que no caso é a função passthru(), mas no help da ferramenta há a lista de funções que podem ser utilizadas no gerador.
Após fazer o upload da phpshell gerada pela tool no alvo, fazemos a conexão pelo próprio script.
![](http://unsecurity.com.br/wp-content/uploads/webacoo3.png)
Oh, shit! I was hacked! ;’(
– Mas Junior, se eu não usar conexão reversa, tudo fica gravado nos logs do web server!!!
Vamos dar uma olhada nos meus logs do Apache e ver se os comandos que dei na shell estão lá?
![](http://unsecurity.com.br/wp-content/uploads/webacoo4.png)
This! Os comandos são passados pelo http header Cookie ao invés de GET ou POST. Além de não aparecer nos logs, isso pode burlar um IDS/IPS conforme a sua configuração.
![Parabéns!](https://forum.guiadohacker.com.br/images/smilies/wink.png)
Assim, temos uma phpshell pequena, oculta e de fácil acesso que podemos alocar em qualquer arquivo do webroot.
O projeto pode ser encontrado no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e o download do projeto zipado pode ser feito Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Referência: unsecurity.com.br
[]'s