Статья Двухкомпонентный php shellcode (source, soft, php)

[merdock]

Двухкомпонентный php shellcode (source, soft, php)

Проект двухкомпонентного шеллкода на php
Всем привет, решил выложить упрощенные исходники двухкомпонентного шеллкода. Данный код является небольшой частью большого проекта, сам шелл я взял упрощенный вариант. Проет бесплатный, для всех, не для продажи. Решил выложить в статьи, хотя может лучше было в софт или программирование, лень думать.

Почему он двухкомпонентный? Обычно все привыкли использовать шеллкоды наподобии WSO или PAS, где сам шеллкод имеет встроенную панель.
Но при реверсе я частенько нахожу двухкомпонентные шеллкоды (именно компонент шеллкода), второго компонента не попадалось, немного поискав панель или подобные шеллы - не нашел.
Решил разработать вторую часть, а именно панель управления, за основу я взял WSO . Вырезал оттуда основные элементы управления: Files, Info, Console, Sql, Php. Все разреверсил, преобразовал и воссоздал панель (написано просто, а геммора много :ce.

Достоинства
- панель имеет простенькую авторизацию
- имеет возможность работы через прокси TOR/Socks
- шеллкод и панель имеют шифрованный канал связи
- есть простенький генератор уникального шеллкода
- шеллкод имеет маленький размер ~1кб
- красивый базовый дизайн bootstrap (можно вырезать)
- проект бесплатный
- кроссплатформенный
- работает на всех версиях php

Простенькая схема работы

Auth

Files

Info

Console

Sql

Php

Скачать

Link: https://mega.nz/#!cZIwWYpS!UvqbngdR-7eR3Ajy92fh3molqCYA3YWQBxNjrv-c1To
Pass: shellcode



FAQ: появляюсь редко, отвечаю еще реже, ищи если действительно нужен, но с деньгами в кармане :di:

 

[RedBear]

наикрутейшая штука!
merdock, ты вычеркнул один из моих пунктов todo.

 

[Dtramp]

наикрутейшая штука!
merdock, ты вычеркнул один из моих пунктов todo.

поясните пожалуйста что это и для чего это)

 

[merdock]

поясните пожалуйста что это и для чего это)

Если коротко - это панель с генератором шеллкода пхп, этот шелл код закидываем на чужой веб сервер (как закидываем не спрашиваем) и потом в панели вбиваем url где шеллкод находиться и управляем веб сервером. (это слишком уж простое описание)

 

[merdock]

наикрутейшая штука!
merdock, ты вычеркнул один из моих пунктов todo.

Тоже давно хотел это сделать, и вот добрались руки и сделал в менеджере шеллов, оттуда и вырел этот модуль и упростил шеллкод для публики. Самая суть - это сложность перехвата траффика АВ, а так же детектирование его, т.к. все сигнатуры хттп протокола случайные, в ВСО этого нет и большинство хостеров отсекают трафик его.

 

[2c71e9]

Это давно было уже реализовано, в мигере и еще какой-то шел мнеджер. Авторы вроде с експа были. Но они уже померли ^_^

 

[lik]

да, было. давно покупал подобное, потерялся где-то((( щас затестирую.
автору респект!

 

[Pernat1y]

Эм. Каким боком это shellcode?

 

[Pernat1y]

Ну, и ещё есть

GitHub - epinna/weevely3: Weaponized web shell

Weaponized web shell. Contribute to epinna/weevely3 development by creating an account on GitHub.

github.com

 

[RedBear]

Это давно было уже реализовано, в мигере и еще какой-то шел мнеджер. Авторы вроде с експа были. Но они уже померли ^_^

выложи мигеру или еще какой-то менеджер.

Ну, и ещё есть

GitHub - epinna/weevely3: Weaponized web shell

Weaponized web shell. Contribute to epinna/weevely3 development by creating an account on GitHub.

github.com

к сожалению, не везде работает.

 

[2c71e9]

выложи мигеру или еще какой-то менеджер.

Надо поискать) где-то были исходники

 

[Dtramp]

Надо поискать) где-то были исходники

мммм
что там у вас?)

 

[admin]

Вообще, супер шеллкод получился. Возможно, где-то и встречалось ранее. Но среди "широких масс" ("масс-маркет"), я точно не встречал.
merdock, с твоего позволения, перезалью картинки на форум, вдруг, файлообменник подохнет.

 

[RedBear]

посмотрел код.
идея хорошая, но вот в реализации есть небольшие проблемы.

первая.

Хотя мы и видим, что выше обфусцированный код, который и должен выполнятся.

вторая.
Вот деобфусцированный кусок кода бекдора:

а вот его обфусцированный вариант:

Вполне может быть, что если оставить только create_function и include, а код не накрывать base64, то он продержится куда дольше. Кому-то даст пищу для размышлений. Можно (и нужно) переписать кусок с генерацией шелла.

ну и так, по приколу, веселушка:

В остальном - все равно, очень крутая штука.

 

[merdock]

посмотрел код.

Всему есть разумное объяснение, кроме XSS

Изначально версия была без внедрения $_POST, эти данные передавались классически, но они были не шифрованны, отсюда было два варианта решения: или шифровать отдельно каждый $_POST или внедрить в тело кода, я выбрал второй вариант потому что он был проще, хотя не самый эффективный. Можно было бы конечно вообще избавиться от использования глобальной переменно, но тогда надо было бы перепахивать все ВСО, я не имел столько времени на такие извращения и выбрать путь наименьшего сопровтивления.

По поводу евал, как ты и заметил некоторая часть не работает на других версиях ПХП, евал же может быть заблокирован, поэтому причине была сделана выборка с проверкой использования работающего варианта. Кстати использование файла для инклуда тоже не очень решение - т.к. оставляет следы так что данный вариант функции с проверкой самый оптимальный вариант и тут сомневаюсь что есть смысл спорить.


Ну по поводу сочетания, я не считаю тот вариант который я сделал идеальным - это большей части как пример для рефакторинга и обучения (все исходники открыты). Более вариативный вариант я отправил Админу в приват. Но САМЫЙ улчший вариант - это не использовать вообще евал, а обфусцировать сам код, но такой универсальный генератор сделать не просто и его бы я не стал в паблик выкладывать. В нашем же случае можно сделать обфускацию жестко привязанную к этому шеллу, т.е. сообществу есть куда улучшать его и тем самым каждый будет иметь универсальную софтину.

 

[merdock]

А вот еще, я постарался как можно безболезненей перенести функционал ВСО поэтому многие решения были ради этого.

 

[RedBear]

По поводу евал, как ты и заметил некоторая часть не работает на других версиях ПХП, евал же может быть заблокирован, поэтому причине была сделана выборка с проверкой использования работающего варианта. Кстати использование файла для инклуда тоже не очень решение - т.к. оставляет следы так что данный вариант функции с проверкой самый оптимальный вариант и тут сомневаюсь что есть смысл спорить.

Это я как раз понял. Просто если eval заблокирован, то деобфусцировать и выполнить другие варианты просто не выйдет. Шелл отдается то пакованным.

Более вариативный вариант я отправил Админу в приват.

И мне давай

Ну по поводу сочетания, я не считаю тот вариант который я сделал идеальным - это большей части как пример для рефакторинга и обучения (все исходники открыты).

Ну я пробежался по твоим сообщениям на exploit.in, всё понял. Ясно как шла мысль и т.д. Понял, какой менеджер шеллов ты имел в виду и т.д.
В любом случае - молодец.