WSO (веб-шелл)

Discussion in 'Избранное' started by oRb, 26 Jan 2009.

  1. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    а можно ли шеллы запускать из архива с паролем ? шелл как бы в контейнере с паролем но работает при правильном пароле ?
    ps стандарнтые способы как то обнаруживают - хоть и зашифрован, но чем обнаруживают ? может ли это быть скрипт который смотрит появление новых файлов на хосте ? а как этот скрипт способы есть найти и удалить, а потом шелл ставить ?
     
  2. hardclubber

    hardclubber New Member

    Joined:
    17 Dec 2010
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Спасибо
     
  3. denza

    denza New Member

    Joined:
    26 May 2010
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    чувак ты вообще понимаешь как работает php и тот же бекэнд? если есть рут доступ, можно написать такой мега изврат, но это тупо

    по твоему вопросу, попробуй залить обычный файл, не шелл, а тот же пхпинфо или ещё какую-то беспаливную хрень, если запалят/удалят, значит действительно чекаеют диры и сравнивают хеш суммы

    P.s. ну и посты тут встречаются, школота добралась до хака :( эх, хорошо хоть каникулы у них скоро закончатся
     
  4. I_I

    I_I Member

    Joined:
    22 Nov 2013
    Messages:
    67
    Likes Received:
    6
    Reputations:
    1
    [QUOTE = "CodeHunter, должность: 3872225, член: 268122"] на хостинге не пошло

    Запрещено: вредоносный файл был обнаружен.

    Определен как: PHP.Shell-38

    печалька [/ QUOTE]

    Этот попробуй
    https://github.com/HARDLINUX/webshell
    Или воспользуйся еще этим http://fopo.com.ar/
     
  5. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    Это не тупо, изврат полезен, взять ту же обфускацию? Шелл в том же zend не пробовал?
     
    _________________________
  6. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    а что за шифрование используется в wso билдере ?
     
  7. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    на хостинге отключили ftp, хотел wso поставить сделал в билдере только файловый менеджер - хоть он и зашифрован, но его палит хостинг
    Forbidden: a malicious file has been detected.
    Detected as: PHP.Shell-38
    как сделать что бы обходил палево ?
    шел то с паролем, + проверяет доступ к нему по кукам, ip и юзерагенту вместе
     
    #467 dondy, 26 Aug 2015
    Last edited: 3 Sep 2015
  8. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Сменить сигнатуру шифрования/оббуссифекации, или попросить тех кто умеет это если не можете сами...

    zend сильно в глаза бросается при выявлении шелла на площадке

    Можно использовать свою функцию, которая будет декриптовать шелл, скажем по ключу из сессии, естественно и упаковщик под него надо писать, где и будет задаваться ключ для декриптора, также можно сделать так чтоб распаковывался и сам архив с заданным паролем, но тут нужно выполнение системных команд, которые включены не везде...

    Стандартные упаковщики, которые палится всем чем можно!
     
    _________________________
    #468 winstrool, 27 Aug 2015
    Last edited: 27 Aug 2015
    dondy likes this.
  9. C6H5CH3

    C6H5CH3 Member

    Joined:
    12 Dec 2008
    Messages:
    40
    Likes Received:
    9
    Reputations:
    1
    Заархивировать в PHP нельзя. Ну по крайней мере до 5,5 включительно. Про PHP 7 не знаю, но скорее всего и там нельзя. То есть функции архивации там есть, но работают они только с данными. То что разорхивировано запустить в памяти нельзя, только создавать новый хайл и его запускать. По поводу детекта ниже.

    Для детекта на хостингах обычно используются два основных метода.
    1. Мод секюрити с обвесом, его можно обходить без особого труда, т.к. там обычный сигнатурный анализ
    2. DrWeb, его увы не обойдешь никак. Он использует для анализа песочницу, где запускает файл и после его декрипта анализирует. Ловит по наличию опасных функций и кусков кода, обойти его нельзя.
     
    dondy likes this.
  10. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    _________________________
    dondy likes this.
  11. nikp

    nikp Banned

    Joined:
    19 Sep 2008
    Messages:
    328
    Likes Received:
    591
    Reputations:
    764
    Архивы поддерживаются давно, но через врапперы, а начиная с версии 5.3 архив phar можно поместить непосредственно в файл php.
    Wso без проблем работает в таком архиве.
     
    dondy, darkwkz and w0rm_ like this.
  12. Siwa4

    Siwa4 New Member

    Joined:
    27 Aug 2015
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    спасибо
     
  13. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    появилась возможность разместиь шелл с сайтом на wordpress, но хостинг http://www.hostinger.ru блокирует wso шелл, даже зашифрованый + запароленый, после ввода пароля пишет Forbidden: a malicious file has been detected. Detected as: PHP.Shell-38
    есть ли билдеры - которые нормально шифруют шелл, что бы тот не обнаруживался хостингом ?
     
  14. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Могу попробовать своим криптором пройтись в рамках интереса, пиши в аську
     
    _________________________
    dondy likes this.
  15. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    как внедрить wso - который зашифрован и система на него не сигнализирует в файлы cms ?
    админ сайта на bitrix использует скрипт который делает md5 хеши всех файлов, показывает появление любых новых файлов, удаление файлов и редактирование.
    все загруженые шеллы были удалены, даже загружал в картинке, её тоже
    но заметил когда внес тестовую правку - добавил iframe, который был просто зашифрована в base 64 в файл, и он остался нетронутым
    можно ли шелл залить в какой либо файл, который удалить он не сможет тк из за него перестанет cms работать, и как выполнить шелл в рабочем файле cms, ведь прямым обращением может вызываться файл cms ?
     
  16. VulturRe

    VulturRe Member

    Joined:
    9 Dec 2010
    Messages:
    59
    Likes Received:
    6
    Reputations:
    0
    и причем надо размер файла чтоб не менялся - тоесть даже если делать фрейм то удалять надо такое же количество строк и т.п.
     
  17. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    я хочу опробовать разместить в файле, размер его не сильно увеличится, подумываю что админ не сильно разбирается и вырезать из кода шелл не повредив файл затруднит его
    по крайней мере нужно проверить на практике
     
  18. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    если админ не сильно разбирается, то можно часть кода самой CMS зашифровать вместе с шеллом, в результате при сносе шифрованного участка с шелом, сносится и часть кода CMS в результате чего упадет сайт, бональная альтернатива заменить орегинальным файлом сайта
     
    _________________________
    dondy likes this.
  19. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    dondy, если проверка файлов по маске, то можно в .htaccess
    AddType application/x-httpd-php .mp4 .etc
    и шелл со своим расширением
    или в файл eval/include с base64, накрайняк код пихнуть типа function bitrix_secure_code(...){...} и по кукам юзать т.е. в существующую ф-ию добавить ф-ию и ещё раз в другую ф-ию ф-ию + запутать проверками типа if (isset($bla)) и добавив else {die("Hacking attempt");} - вырежит - система перестанет работать.
     
    _________________________
    FHT and dondy like this.
  20. sergio21

    sergio21 New Member

    Joined:
    9 Jul 2015
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Подскажите пожалуйста. Не могу понять как в нем искать по содержимому файлов?