Конкурс Создаём беспалевный web-shell и испытываем в боевых условиях

qwerty_man

qwerty_man

Green Team
11.04.2019
41
61
Там шеллы исключительно на POST запросах. У меня 2 тестовых ресурса, оба проверял, не видит. Никакой обфускации на некоторых шеллах даже нет. Впрочем, я уже для себя выяснил, что самый эффективный софт самописный (с гитхаба того же), а не корпоративный, или от антивирусных компаний.

В реальности три четверти сайтов либо не имеют админов (заказали сайт и на этом всё), или админы из разряда обновить статьи и залить картинки. Поэтому даже самые очевидные вредоносы на многих ресурсах могут жить весьма долго (если конечно не беспокоят хостера рассылкой спама и т.п.).
Если говорить о внешнем сканировании - в основном сканеры смотрят на редиректы, внешние ссылки и вредоносный .js, искать с их помощью шеллы, на мой взгляд, не очень. Ради теста кинул WSO в песочницу:

2020-01-10_19-42-05.png
2020-01-10_18-20-04.png

Rescan.pro прикладывать не стал, он не нашел ничего. Но, результат есть только потому, что я отрубил авторизацию у WSO, показал всю его "морду" и указал ссылку на шелл с главной страницы. Там оказался FilesMan, который, видимо, есть в blacklist =)

Насчет самописных и бесплатных на github - тут в зависимости от того, что требуется. Если нужна профилактика на сервере - согласен. Можно поставить какой-нибудь ClamAV и он будет сканить по расписанию. Если стоит задача чистки, то тут уже нужен инструмент с постоянно обновляемой базой... А это обычно коммерческие или условно бесплатные версии (как раз ai-bolit и пр.).
 
Последнее редактирование:
  • Нравится
Реакции: The Codeby и Diplomat
Егор Перевощиков

Егор Перевощиков

Member
16.11.2019
5
0
Такой вопрос: вот вы сначала пользуетесь тем шеллом, который был залит на сайт другим человеком, а потом бац - и уже своим. Вы его заливали с помощью уже существующего?
Я вот про облась этого момента:
Настала пора проверить свою разработку. Смотрю какие есть качалочки на сервере.
 
explorer

explorer

Red Team
05.08.2018
827
1 746
Такой вопрос: вот вы сначала пользуетесь тем шеллом, который был залит на сайт другим человеком, а потом бац - и уже своим. Вы его заливали с помощью уже существующего?
Я вот про облась этого момента:
Да, в данном случае, был обнаружен чужой шелл(нашёл фаззером), через который уже залил свой. Подробно написано, прочтите снова начиная с заголовка История одного взлома.

P.S. Качалки я конечно смотрел через чужой шелл сначала, просто скрин повесил с моего, чтобы видно было как функционал работает. Видимо это несоответствие вас и смутило.
 
Егор Перевощиков

Егор Перевощиков

Member
16.11.2019
5
0
P.S. Качалки я конечно смотрел через чужой шелл сначала, просто скрин повесил с моего, чтобы видно было как функционал работает. Видимо это несоответствие вас и смутило.
Да, из-за этого, спасибо. Отличная статья.
Не подскажете, сколько времени ушло на написание своего?
 
explorer

explorer

Red Team
05.08.2018
827
1 746
Да, из-за этого, спасибо. Отличная статья.
Не подскажете, сколько времени ушло на написание своего?
Почти неделю провозился с учётом того, что я PHP не владею. Знание HTML здесь было ключевым моментом успешного достижения задуманного (так как делал шелл с веб-интерфейсом), а также принципов программирования (здесь помог python), ну и желания разобраться )
 
  • Нравится
Реакции: Marylin
Мы в соцсетях: