В процессе реализации кое какого концепта и наличия свободного времени, появилась мысль немного поговнокодить доработать один из гуёвых олдскульных веб-шеллов.

Цель, решение проблем с детектами различными WAF/IDS, как реквестов, так и респонсов. В большинстве случаев, такое обнаружение влечёт за собой ответные меры от атакуемой стороны, что при пентестах и редтиминге не всегда позволительно и допустимо.

WSO2 морально устарел и требует значительных доработок. b374k какой-то ненашенский и, как мне показалось, с большим оверхедом по функционалу. А вот нашумевший в своё время P.A.S., по своей задумке и устройству, очень даже подошёл. Хотя автор и прекратил поддержку своего продукта, но выпускать модификацию с дальнейшим порядковым номером, я не решился (не по Сеньке шапка). Поэтому, выражаю глубочайшее уважение @profexer (https://antichat.live/members/232706/) и надеюсь, что он когда-нибудь продолжит свою замечательную работу.

Форкалась версия 4.1.1b, исходники (https://github.com/winstrool/pas-4.1.1b_source_code) были взяты из репозитория @winstrool (https://antichat.live/members/33917/), за что ему спасибо

.SpoilerTarget" type="button">Spoiler: Что умеет оригинал
General


Works on PHP >= 4.1.0

Doesn't use PHP sessions or store any data on a server

Uses asynchronous requests like a AJAX

Can use POST or GET request method

Can obfuscate requests

Can work in custom environment (aka SUID mode)

Supports 22 different charsets

Encrypts the source code with your key (password) at download

Resulting file doesn't contain encryption key (password) in any form

Has stealth mode

Working with different tasks without reload page and losing data

Can be switched from fixed to flexible view

Keyboard-only compatibility

Has message log

Shows server time
File Manager


Can upload several files at once

Can create file, directory, symbolic and hard link

Can change files properties (path, modified date, permission, owner, group)

Can download files

Can delete files

Has files buffer:
mark, unmark, show marked files;

copy, move files from buffer to the current dir;

download files from buffer;

clear buffer;


Can search files:
in several paths;

with limited depth;

by name with wildcard and case-sensitive options;

by type (file, directory);

by mode (readable, writable, full access);

with SUID attribute;

by owner IDs with definition of intervals;

by group IDs with definition of intervals;

by created date with definition of intervals;

by modified date with definition of intervals;

by size with definition of intervals;

by specified text with regex and case-sensitive options;


Can save file with specified end of line

Fast change properties, download and delete specified file

Has breadcrumbs

Click on extension cell to copy file name

Press ESC to close current dialog

Press Alt+T to switch between opened dialogs
SQL Client


DB support:
MySQL (mysql, mysqli, PDO)

MSSQL (mssql, sqlsrv, PDO, PDO SQLSRV, PDO DBLIB, PDO ODBC)

PgSQL (pg, PDO)


Tree view of database schema

Shows column data types

Can show only selected columns data

Can show tables row count

Can reload single base/scheme/table schema

Can dump multiple tables/schemes/bases

Can dump only selected schemes/tables/columns

Can dump to SQL or CSV format

Has pagination for some database types
PHP Console


Isolates the results HTML code from the main page

Can be switched from vertical to horizontal composition

Press Ctrl+Enter to evaluate code
Terminal


Can execute commands via specified command processor

Can execute commands via specified function

Type ? to show help

Has command history:[LIST]
type history [N] to show command history, where optional parameter N is number of last commands;

press Up & Down keys to navigate from command history;

type ![N] to execute command, where N is:[LIST]
! to execute the last command;

N>0 to execute command #N from the command histroy;

N

В P.A.S. Fork v. 1.0 добавлено/изменено:

[LIST]
Работа GET запросами (параметры в куках)

Переход в POST с возможностью отказаться

Обфускация ключей и значений запроса

Обфускация загружаемых файлов

Обфускация ответа от сервера

Авторизация по паролю

Авторизация по заголовку

Фикс дампа MySQL в режиме PDO

Переименованы "конструкторы в стиле PHP 4"

Выпилен pcntl_exec

opcache_invalidate после сохранения файла

Тёмный цветовой режим

Опция для отображения ctime

Опция для инвертирования вывода в терминале

Выпилены системные вызовы при старте скрипта

Фикс краша JS в файловом менеджере (на редких окружениях)

Поддерживаемые версии PHP: 5 >= 5.1.2, PHP 7, PHP 8


.SpoilerTarget" type="button">Spoiler: Скриншоты

.SpoilerTarget" type="button">Spoiler: Пример запроса 'ls -la;cat /etc/passwd'
https://i.imgur.com/24yso3q.png

https://i.imgur.com/dfg880h.png

.SpoilerTarget" type="button">Spoiler: Тёмный цветовой режим
https://i.imgur.com/jP0alEx.png


Репозиторий (https://github.com/cr1f/P.A.S.-Fork) на GitHub

Перед использованием, будет не лишним вычистить все HttpOnly куки для домена, если таковые имеются.

Этот инструмент предназначен только для образовательных и тестовых целей и не предназначен для применения на практике, если у вас нет разрешённого доступа к системе.

This tool is for educational and testing purposes only and is not intended to be put into practise unless you have authorised access to the system.

Красота! опробовал, очень зашло!

Тут оказывается, месяц назад, обзор подъехал от зарубежного коллеги: https://blog.sucuri.net/2020/10/p-a-s-fork-v-1-0-a-web-shell-revival.html Не все фишки заценили, но я рад, что им понравилось. В то же время очень жаль, что повод для этого обзора был печальный, так как инструмент обнаружили на скомпрометированном сайте, а это полностью противоречит условиям использования.

Поэтому, хочу ещё раз напомнить, что этот скрипт предназначен только для легальных тестов на проникновение!

Осталось двойственное впечатление от статьи в бложике.

Вроде бы ресерчили, вроде бы описали подробно, вроде бы работа в плюс.

Но исходный код шелла выложен, пакер тоже был выложен, чего пытались найти?

Автора доработок назвали "злоумышленником".

???

О чем это?

Скорее всего вот о чем: "Мы крутые спецы и у нас есть платный продукт, пройдите по ссылке и обязательно его купите, интернет полон злоумышленников, но вам не нужно думать и включать мозги, просто купите нашу поделку".

По факту, они дважды проиграли КРЛФу.

И это при условии, что он даже не включался в их игру.

Во-первых, их работа выглядит, как потуги на ровном месте, а CRLF просто решал очередную (и не очень крупную) задачку, мимоходом, пришла мысль отрихтовать бывший хороший инструмент - сделал.

И поделился с сообществом.

Как спецы они выглядят слабее.

Во-вторых, с моральной точки зрения они тоже выглядят хуже, хотя и пытались присвоить себе право судить других.

Проигнорить их попытку опустить исследователя ниже себя - было правильным, они провалились от собственного действия.

Да, есть этическая проблема, твой продукт могут использовать и для причинения ущерба.

Но такая же дилемма стояла и перед создателями алфавита, разные слова можно написать при помощи букв, но злоумышленниками их мы не называем, не опускаемся до дебильного восприятия и оценок.

На форуме много материала, который можно использовать для нанесения ущерба стороннему ресурсу. Но совсем не факт, что именно так он и используется всеми.

И знаю совершенно точно, что много находок сделано исследователями, которые определенно не блечат.

А доработка выложена автором в разделе "Этичный хакинг", а не в "Давай сломаем интернет".

Обновлён упаковщик - packer.php. Добавлены различные варианты рандомизации генерируемого кода. Теперь в наличии четыре режима:

ASCII // create_function

ASCII PHP8 // eval

PHAR // include + phar:// + PHAR контейнер

ZIP // include + phar:// + ZIP контейнер

У каждого варианта есть свои плюсы и минусы. Для использования требуется установленное расширение php-zip.

Добавлены следующие изменения:


Опция для инвертирования вывода в терминале

Выпилены системные вызовы при старте скрипта

Фикс краша JS в файловом менеджере (на редких окружениях)
Спасибо всем тем, кто слал баг-репорты и помогал отлавливать