Jump to content
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

herakty

PHP script backdoor

Recommended Posts

herakty

algo que está na moda devido à facilidade com que se invadem os web servers é colocar backdoors como simples páginas PHP... há várias no momento e torna-se muito dificil detectar em sites enormes que um ficheiro PHP é uma backdoor

simples e muito eficaz

WSH (PHP Script Backdoor)

http://www.astalavista.com/index.php?app=downloads&showfile=6370

Este é composto por um cliente e um servidor... colocam o servidor que são apenas files PHP e usam o cliente em python para manipular... mas...

Há outra mesmo muito poderosa... mesmo... (OS AV´S FICAM LOUCOS... ALERTEI)

Claro que é uma estupidez dos AV´s pois está em TXT e assim é inofensivo... é preciso dar a extensão PHP para funcar.

Usem o wget para sacar com a opção de mirror ou provavelmente não vão conseguir  :smoke:

https:/www.angryhacker.com.br/bot/shellno.txt

renomeiem para .PHP e coloquem num servidor comprometido com PHP... e depois acedam a essa página e vão ver coisas fantásticas como uma shell remota, etc

experimentem em casa com um simples site em PHP numa Virtual Machine

para mim é das mais interessantes e pode-se colocar lá usando o PUT ou uma vulnerabilidade de XSS ou SQL Injection, para não falar no exploitation do servidor...

teckV

Share this post


Link to post
Share on other sites
softklin

Os antivírus ficam "loucos" porque apenas estão a fazer o trabalho deles. Senão, olha que fácil era mudar a extensão a um ficheiro e enviar um script ao lado que a única função era mudar a extensão e correr o executável, tudo sem ser detectável por antivírus... A extensão em si pouco diz, apenas é uma convenção.

De resto, tenho aí uma dúvida: o método PUT que falaste, é aquele que está disponível no protocolo HTTP?


Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Share this post


Link to post
Share on other sites
herakty
De resto, tenho aí uma dúvida: o método PUT que falaste, é aquele que está disponível no protocolo HTTP?

também, contudo e não só... foi uma frase que me ficou na cabeça desde a escola... ouvi tanta vez que me ficou tipo cantilenga

sabiam que há IIS a correr sob a conta de admin? facilitismo e falta de informação e até por vezes são alertados e não querem saber...

há coisas que não se podem apresentar da forma mais técnica pois permitiriam o "script kidismo"... pode parecer estranho eu que quero ensinar a nível de pen testing dizer isto, mas é isto mesmo... gosto de partilhar info de pen testing e não arranjar maneira de alguém "apontar" algo a um servidor e cataboom

se não perceberam nada é porque respondi da forma correcta..  :smoke:

teckV

Share this post


Link to post
Share on other sites
softklin

Sinceramente, não percebi, e acho embora tenhas citado, não me pareceu que tenhas respondido à minha pergunta.


Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Share this post


Link to post
Share on other sites
herakty

a ideia deste tópico era falar de backdoors em PHP... tentei falar de servidores mal configurados que permitem o PUT por URI. mas obviamente não será a forma usual de fazer upload de um ficheiro como eu falei no tópico inicial.

falei de várias formas de comprometer o servidor e será por ai o caminho...

mas volto a referir que não era sobre o método PUT do HTTP que queria falar...apesar de haver muito a explorar por ai

mas sim sobre backdoors PHP

teckV

Share this post


Link to post
Share on other sites
softklin

Eu não quero desviar o assunto do tópico, só perguntei porque fiquei na dúvida se seria o método PUT ou não, porque não é muito comum os servidores estarem configurados para aceitar isso. Aliás, até tenho ideia que isso hoje em dia nem é utilizado.

Obrigado pelo esclarecimento :thumbsup:


Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Share this post


Link to post
Share on other sites
herakty

só para terminar tinha falado nisso... mas ficarias espantado com a quantidade de servidores que permite isso e sem autenticação... eu faço scans constantes à web e o nmap diz que métodos estão disponíveis num webserver

mas tens razão... não é de esperar que um server tenha isso... o normal será não ter e hoje até quer o apache, quer o IIS não trazem o PUT por defeito (antigamente não e ainda há mt server instalado no antigamente)

Eu não quero desviar o assunto do tópico, só perguntei porque fiquei na dúvida se seria o método PUT ou não, porque não é muito comum os servidores estarem configurados para aceitar isso. Aliás, até tenho ideia que isso hoje em dia nem é utilizado.

teckV

tentei falar de servidores mal configurados que permitem o PUT por URI

teckV

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.