Чем обфусцировать шелл

Discussion in 'Песочница' started by Photocam, 23 Sep 2018.

  1. Photocam

    Photocam Member

    Joined:
    26 Mar 2013
    Messages:
    0
    Likes Received:
    14
    Reputations:
    0
    знаю что тема ахулиард раз опсуждалась. Но там уже все сервисы подохли и да не надо подсказывать очевидные вещи что надо шифровать только приватными или самописными методами

    Плиз посоветуйте чем зашифровать всо бесплатно
    Только много из того что жило год назад уже не живет как сервис fopo. Такое не надо советовать

    Могу на пиво еще закинуть за годный совет)
     
  2. Gorbachev

    Gorbachev Level 8

    Joined:
    23 Mar 2017
    Messages:
    258
    Likes Received:
    143
    Reputations:
    82
    eval(base64_decode('код шелла в базе64'));

    можно ещё gzdeflate добавить для усложнения.
    Пользуйся, благодарностей не надо. Я за идею.
     
  3. Photocam

    Photocam Member

    Joined:
    26 Mar 2013
    Messages:
    0
    Likes Received:
    14
    Reputations:
    0
    Интеллект не пропьешь) это же палится легко
     
  4. Gorbachev

    Gorbachev Level 8

    Joined:
    23 Mar 2017
    Messages:
    258
    Likes Received:
    143
    Reputations:
    82
    Вместо base64 можно использовать urlencode например, это в корне поменяет дело :D
     
  5. Photocam

    Photocam Member

    Joined:
    26 Mar 2013
    Messages:
    0
    Likes Received:
    14
    Reputations:
    0
    на пиво куда закидывать?
     
  6. panic.ker

    panic.ker Member

    Joined:
    25 Aug 2013
    Messages:
    93
    Likes Received:
    69
    Reputations:
    3
    Собственно тот же вопрос интересует,чтоб по быстрому это делать онлайн, особенно когда в силу обстоятельств и передвижений нет инструментов под рукой.
    Юзал раньше http://kronus.me/cn/wso-builder/1.04/ , но сильно уж палится.
    ТС, если не ограничиваться всо, посмотри вот тут еще
    https://github.com/tennc/webshell/tree/master/
    Полнее пока не встречал сборку шеллов, на asp,aspx,php,jsp,pl,py
    Иногда (не часто) апдейтятся, есть обфусцированные, возможно найдешь не палящиеся (проверяй на бэкдоры естественно)
     
    Photocam likes this.
  7. Photocam

    Photocam Member

    Joined:
    26 Mar 2013
    Messages:
    0
    Likes Received:
    14
    Reputations:
    0

    Ну а так ты там встречал бекдоры??
     
  8. panic.ker

    panic.ker Member

    Joined:
    25 Aug 2013
    Messages:
    93
    Likes Received:
    69
    Reputations:
    3
    Мне пока $_GET['cmd'] / system($_GET['cmd']) хватает вполне =) Самый надежный вариант.
    Оттуда не юзал еще, т.к. ссылку только вчера обнаружил. Но отрицательных отзывов не видел, парни юзают.
    Все же проверять самому советую.
     
  9. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    106
    Likes Received:
    128
    Reputations:
    46
    и как только админ занесёт system() в disable_functions самый надёжный вариант превратится в самый нерабочий
    не нужно его ничем шифровать, его не нужно даже хранить на сервере вовсе
    на сервере должен быть маленький бекдор, который по щелчку пальца заливает полноценный wso для работы
     
    b3 likes this.
  10. panic.ker

    panic.ker Member

    Joined:
    25 Aug 2013
    Messages:
    93
    Likes Received:
    69
    Reputations:
    3
    К этому моменту шелл обычно уже не требуется =) Не те задачи, тем более для долгосрочного доступа. Да и в принципе,твоя фраза "как только админ..." -если админ грамотный, то применимо ко всем вариантам, уже ничего и не поможет.Там "как только админ"-так сразу. Тем более "как только админ" дупля отобьет, я уже закреплен (образно)))) в системе, дедовскими методами-но все же (не везде отрабатывает ведь). А бэкдор "заливающий шелл" - это уже заливающий шел, т.е. ПАЛИВНЫЙ ШЕЛЛ, неважно куки ты используешь для доступа, токены, бд, а если кроссдоменные обращения тоже запрещены? каждый раз изьебоваться будешь? Можешь подробнее, просто не совсем область моя, я хотел бы узнать подробнее, что ты имеешь ввиду. Или админ шелл твой (зная что взломали уже) в логах или /тмп или исходниках не заметит? Он прошерстит всё. Тут вопрос про обфускацию, т.е. по факту про не паливность залитого (eval то он тоже спалит). Предложи, вот в чем вопрос. Иначе можно опять все свести к теме "как залить" а потом к теме "как спрятать". Вопрос про быструю непалевную обфускацию по идее.
     
  11. panic.ker

    panic.ker Member

    Joined:
    25 Aug 2013
    Messages:
    93
    Likes Received:
    69
    Reputations:
    3
    У меня опыта в этом плане не много, но мне не встречались пока варианты для того, чтобы ждать пока админ спалит твой встроенный в POST запросе RCE в одну строчку. ХЗ
     
  12. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    106
    Likes Received:
    128
    Reputations:
    46
    вопрос по идее о том, как сохранить присутствие максимально долго
    вся эта непалевная обфускация найдётся по логам(100500 POST запросов к шеллу)
    логично предположить, что админ не заметит один единственный запрос к мини бекдору на заливку полноценного шелла
    когда вы пишите про обфускацию шелла, вы забываете, что имеете дело не с сигнатурами антивируса, а с человеком
    настоящий вопрос в том как неявно и нестандартно исполнить php код - ответ есть на форуме, достаточно немного поискать
    и да, важно уточнить, что слать запрос к мини бекдору и заходить уже на залитый полноценный шелл нужно с разных ip и юзерагента, иначе всё это не имеет смысла
    да, это так, но до тех пор, пока у тебя нет root привилегий
    как показывает практика, при равных правах даже самые злые админы как правило сливаются
     
    #12 dmax0fw, 23 Sep 2018
    Last edited: 24 Sep 2018
    b3 and crlf like this.
  13. panic.ker

    panic.ker Member

    Joined:
    25 Aug 2013
    Messages:
    93
    Likes Received:
    69
    Reputations:
    3
    Демагогия. В споре рождается истина и в спорах рождаются бактерии. По сути вопроса будет че нить? Кроме как "по форуму поищи", и я такой распиздатый а вам не скажу почему, ибо я админов гну. Вопрос в ДРУГОМ был. Нечего сказать-удачи с твоей практикой. Людям это дерьмо читать как бы неохота, или времени нет. Они в ветку заходят увидеть ОТВЕТ на вопрос. Я на рдоте много читал, как закрепиться в системе, там есть то чего нет тут, но я же не отправляю людей туда, т.к. вопрос был в другом. А ты его для себя конкретно распозиционировал, так, как увидел = закрепиться. Да может нахуй не надо закрепляться там, а просто залить и чтоб антивирь не спалил ебать
     
  14. Baskin-Robbins

    Baskin-Robbins Reservists Of Antichat

    Joined:
    15 Sep 2018
    Messages:
    195
    Likes Received:
    601
    Reputations:
    97
    Стучалки есть точно в php шеллах, в остальных не могу сказать.
     
  15. Turanchocks_

    Turanchocks_ Elder - Старейшина

    Joined:
    11 May 2013
    Messages:
    1,163
    Likes Received:
    2,781
    Reputations:
    12
    Это вот - сказал так сказал. Я после фразы "в спорах рождаются бактерии" дефрагментировался несколько более , чем от формулировок наших законотворцев. Обладаешь.
     
  16. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    1,986
    Likes Received:
    879
    Reputations:
    198
    с бэкдором нужно работать через админку, это снизит кол-во запросов к бэку, светит ИП админки а не твой, не проблема прикрутить ротатор прокси. Сам бэдор я считаю должен быть ОЧЕНЬ индивидуален и иметь логику приложения и придерживаться его стилистики. Такие бэки живут очень долго. Банальный move_uploaded_file проживет дольше чем system. И по поводу антивирусов/админов/грепов вы тоже не забывайте. Ваши eval бэки грепаются в первую очередь, и base64. Айблит уже встроен в Plesk, ISPmanager а вы тут выкатить хотите на system($_GET[1]);

    Шелы вообще лучше не держать на сервере, залил, сделал дело, удалил.
     
    _________________________
    grimnir, dmax0fw, man474019 and 3 others like this.
Loading...