Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

herakty

PHP script backdoor

Mensagens Recomendadas

herakty

algo que está na moda devido à facilidade com que se invadem os web servers é colocar backdoors como simples páginas PHP... há várias no momento e torna-se muito dificil detectar em sites enormes que um ficheiro PHP é uma backdoor

simples e muito eficaz

WSH (PHP Script Backdoor)

http://www.astalavista.com/index.php?app=downloads&showfile=6370

Este é composto por um cliente e um servidor... colocam o servidor que são apenas files PHP e usam o cliente em python para manipular... mas...

Há outra mesmo muito poderosa... mesmo... (OS AV´S FICAM LOUCOS... ALERTEI)

Claro que é uma estupidez dos AV´s pois está em TXT e assim é inofensivo... é preciso dar a extensão PHP para funcar.

Usem o wget para sacar com a opção de mirror ou provavelmente não vão conseguir  :smoke:

https:/www.angryhacker.com.br/bot/shellno.txt

renomeiem para .PHP e coloquem num servidor comprometido com PHP... e depois acedam a essa página e vão ver coisas fantásticas como uma shell remota, etc

experimentem em casa com um simples site em PHP numa Virtual Machine

para mim é das mais interessantes e pode-se colocar lá usando o PUT ou uma vulnerabilidade de XSS ou SQL Injection, para não falar no exploitation do servidor...

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
softklin

Os antivírus ficam "loucos" porque apenas estão a fazer o trabalho deles. Senão, olha que fácil era mudar a extensão a um ficheiro e enviar um script ao lado que a única função era mudar a extensão e correr o executável, tudo sem ser detectável por antivírus... A extensão em si pouco diz, apenas é uma convenção.

De resto, tenho aí uma dúvida: o método PUT que falaste, é aquele que está disponível no protocolo HTTP?


Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
De resto, tenho aí uma dúvida: o método PUT que falaste, é aquele que está disponível no protocolo HTTP?

também, contudo e não só... foi uma frase que me ficou na cabeça desde a escola... ouvi tanta vez que me ficou tipo cantilenga

sabiam que há IIS a correr sob a conta de admin? facilitismo e falta de informação e até por vezes são alertados e não querem saber...

há coisas que não se podem apresentar da forma mais técnica pois permitiriam o "script kidismo"... pode parecer estranho eu que quero ensinar a nível de pen testing dizer isto, mas é isto mesmo... gosto de partilhar info de pen testing e não arranjar maneira de alguém "apontar" algo a um servidor e cataboom

se não perceberam nada é porque respondi da forma correcta..  :smoke:

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
softklin

Sinceramente, não percebi, e acho embora tenhas citado, não me pareceu que tenhas respondido à minha pergunta.


Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty

a ideia deste tópico era falar de backdoors em PHP... tentei falar de servidores mal configurados que permitem o PUT por URI. mas obviamente não será a forma usual de fazer upload de um ficheiro como eu falei no tópico inicial.

falei de várias formas de comprometer o servidor e será por ai o caminho...

mas volto a referir que não era sobre o método PUT do HTTP que queria falar...apesar de haver muito a explorar por ai

mas sim sobre backdoors PHP

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
softklin

Eu não quero desviar o assunto do tópico, só perguntei porque fiquei na dúvida se seria o método PUT ou não, porque não é muito comum os servidores estarem configurados para aceitar isso. Aliás, até tenho ideia que isso hoje em dia nem é utilizado.

Obrigado pelo esclarecimento :thumbsup:


Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty

só para terminar tinha falado nisso... mas ficarias espantado com a quantidade de servidores que permite isso e sem autenticação... eu faço scans constantes à web e o nmap diz que métodos estão disponíveis num webserver

mas tens razão... não é de esperar que um server tenha isso... o normal será não ter e hoje até quer o apache, quer o IIS não trazem o PUT por defeito (antigamente não e ainda há mt server instalado no antigamente)

Eu não quero desviar o assunto do tópico, só perguntei porque fiquei na dúvida se seria o método PUT ou não, porque não é muito comum os servidores estarem configurados para aceitar isso. Aliás, até tenho ideia que isso hoje em dia nem é utilizado.

teckV

tentei falar de servidores mal configurados que permitem o PUT por URI

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.