elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Hacer webshell indetectables parte II de III
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Hacer webshell indetectables parte II de III  (Leído 1,897 veces)
MichBukana

Desconectado Desconectado

Mensajes: 26



Ver Perfil
Hacer webshell indetectables parte II de III
« en: 22 Agosto 2013, 14:08 pm »

Continuando con el anterior post, hoy se va a tratar la publicación de una herramienta para agilizar el método utilizado a la hora de conseguir que no se detecte la webshell y así dejar automatizado este proceso.

Imagen 1: AVFuck ejecución sin parámetros

Antes de nada se explica en profundidad el funcionamiento interno para que puedan contar con las nociones necesarias sobre lo que hace la herramienta, para una mejor comprensión. La aplicación va a crear varios ficheros partiendo del original, donde cada fichero generado se va a diferenciar en su contenido, en función del número que se haya enviado como tercer parámetro a la aplicación. Un ejemplo a pequeña escala sería tener una web shell con una longitud de 30 caracteres en la que se ejecutase la aplicación de la siguiente forma:

AVFuck_TPlain.exe 0 end 10 ficheroConWebshellEnBase64
El resultado va a ser la creación de 3 ficheros llamados 0-10.php, 10-20.php, 20-30.php, donde el primero varia los 10 primeros caracteres con respecto del original, en el segundo se varia desde el carácter 10 hasta el 20 y el tercero desde el 20 hasta el 30. Para poder realizar las variaciones, lo único que se ha incluido ha sido una salto de línea entre cada carácter de ese rango.

Tomándose como referencia este ejemplo, se podría poner un caso real, el que se utilice la web shell c99, como se indicó en el primero post. Una vez se tenga la web shell cifrada en base64 y volcada en un fichero,  lo siguiente será lanzar la mi aplicación de la siguiente forma:

Primero será necesario colocarse en el directorio de la App

Cd “C:\xxxx\App\”

Y después ejecutarla de esta forma:

AVFuck_TPlain.exe 0 end 10000 ficheroConWebshellEnBase64

Una vez termine saldrá el mensaje ……….End!

Imagen 2: AVFuck ejecución con parámetros

Generando los siguiente ficheros:

Imagen 3: Ficheros resultantes

El próximo paso será analizar los ficheros y eliminar los detectados.

Imagen 4: Análisis y detección de ficheros

Como se ve, ha detectados 22/23 con lo cual nos deja un fichero libre de firma el 0-10000.php y si se realiza la prueba de copiarlo y pegarlo en el directorio web y a continuación se procede con su apertura desde del navegador se puede ver que se ejecuta correctamente, con lo cual ya se tendría la webshell libre de firma y funcional.


Imagen 5: c99 indetectable a AVIRA y en ejecución

Herramientas:
AVFuck_TPlain Compilado + Base64(C99) http://www.multiupload.nl/SJK01DU9BD

Conclusión:
Se le ha explicado como utilizar la herramienta para facilitar el método propuesto en el anterior post. En el próximo post continuando con la temática se propondrán otros métodos más habituales y sus herramientas.


Fuente: http://code-disaster.blogspot.com/
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
hacer zoom solo en una parte determinada de una pagina web
Desarrollo Web
javierr 5 5,911 Último mensaje 9 Enero 2011, 19:13 pm
por javierr
Hacer webshell indetectables parte I de III
Nivel Web
MichBukana 0 2,182 Último mensaje 22 Agosto 2013, 14:01 pm
por MichBukana
Hacer webshell indetectables parte III de III
Nivel Web
MichBukana 0 1,954 Último mensaje 22 Agosto 2013, 14:14 pm
por MichBukana
Mi WebShell
Hacking
WHK 1 3,831 Último mensaje 23 Febrero 2018, 20:12 pm
por Alexis-182
¿Es posible hacer una función que incluya parte de un if?
Programación General
Tachikomaia 2 1,638 Último mensaje 28 Febrero 2024, 01:08 am
por Tachikomaia
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines