elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Hacer webshell indetectables parte III de III
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Hacer webshell indetectables parte III de III  (Leído 1,955 veces)
MichBukana

Desconectado Desconectado

Mensajes: 26



Ver Perfil
Hacer webshell indetectables parte III de III
« en: 22 Agosto 2013, 14:14 pm »

Siguiendo con el hilo del post anterior se les va a hablar de herramientas comunes para ofuscar código PHP y así lograr saltarse los antivirus. Como ejemplo se usará una herramienta llamada carbylamine escrita en PHP y desarrollada por Prakhar Prasad

Su uso es simple, es necesario pasarle 2 parámetros, fichero de entrada y fichero de salida


Imagen 1: Ejecución carbylamine

Al comparar el código de los dos ficheros se puede ver un gran cambio


Imagen 2: Comparación c99 Ofuscada y sin Ofuscar

Y al analizarlos no se detecta como código malicioso.


Imagen 3: Análisis de Avira

Así de sencillo se logra burlar al antivirus y es que no es Avira el único caso, es más desde mi punto de vista Avira es uno de los mejores antivirus que existe hoy en día y es que volviendo a criticar lo que se habló en el anterior post del método de detección por firmas que tan ineficaz es y aún más si estas empresas no invierten trabajo en añadir firmas a herramientas tan conocidas como puede ser la c99 ofuscada sin previas modificaciones con los típicos métodos de ofuscación.


Imagen 4: Análisis en Virustotal - detección 0/47

Y es que son muchos los que se inician en el mundo del defacement y sin más suben una web shell ofuscada que se han bajado de la primera página de los resultados de google.


Imagen 5: Búsqueda en google c99 webshell

Muchos webmasters se alertarían si su antivirus la hubiese detectado

Conclusión
Me gustaría proponerle una idea y que llegase a los oídos de estas empresas antivirus.
Porqué no advierten los antivirus cuando en un directorio web se encuentra un fichero que hace llamadas a determinadas funciones como gzinflate, base64_decode, etc y si esta al tanto, el administrador la añada como excepción. ¿Se les ocurre algún CMS que ofusque su código fuente como lo hace carbylamine?.

Fuente: http://code-disaster.blogspot.com/
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
hacer zoom solo en una parte determinada de una pagina web
Desarrollo Web
javierr 5 5,911 Último mensaje 9 Enero 2011, 19:13 pm
por javierr
Hacer webshell indetectables parte I de III
Nivel Web
MichBukana 0 2,182 Último mensaje 22 Agosto 2013, 14:01 pm
por MichBukana
Hacer webshell indetectables parte II de III
Nivel Web
MichBukana 0 1,897 Último mensaje 22 Agosto 2013, 14:08 pm
por MichBukana
Mi WebShell
Hacking
WHK 1 3,831 Último mensaje 23 Febrero 2018, 20:12 pm
por Alexis-182
¿Es posible hacer una función que incluya parte de un if?
Programación General
Tachikomaia 2 1,638 Último mensaje 28 Febrero 2024, 01:08 am
por Tachikomaia
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines