PHP ve Etik Hacking Araçları – Shell İndir

3 views

Skip to first unread message

Mehmet SAHIN

unread,

Jan 27, 2025, 5:43:05 AMJan 27

to Free Backlink Group

Ana Sayfa temiz shell ALFA SHELL V4.1ALFA SHELL V4.1

Shell Downloadd -personShell Downloadd

Ocak 20, 202528 minute read

Mevcut bir web kabuğunun kaynak koduna eklenen değişikliklerin ve özellik geliştirmelerinin kapsamına bağlı olarak, bu güncellemeler kötü niyetli kişiler için sıkıcı ve zaman alıcı olabilir. Bu nedenle, web kabukları için kodun farklı, bağlantısız saldırganlar arasında yeniden kullanıldığını görmek yaygındır.

download

alfa-shell-v4.1.php74.02kb

GitHub'dan Download Et

Yeni Özellikler

ALFA -TEaM kabuğu çok sayıda özellik içeriyor, bu yüzden bugün öncelikle son sürüm v4.1 için yeni veya güncellenmiş özelliklere odaklanacağım .

v4.1’in PHP kodunu karşılaştırdığımızda , web kabuğunun v3’ünde bulunmayan şu yeni özellikleri görebiliriz :

' dumper ' ➠ ' Veritabanı Dökümcüsü ' , ' coldumper ' ➠ ' Sütun Dökümcüsü ' , ' deziper ' ➠ ' Sıkıştırıcı ' , ' fakepage ' ➠ ' Sahte Sayfa ' , ' config_grabber ' ➠ ' Yapılandırma Dökümcüsü ' , ' archive_manager ' ➠ ' Arşiv Yöneticisi ' ,

İlk üçü mevcut özelliklerin (örneğin coldumper ) sadece varyasyonlarıdır ve çok özellikli PHP web kabukları arasında nispeten yaygındır.

Son üç özelliğin davranışına odaklanalım: fakepage , config_grabber ve archive_manager .

Sahte Sayfa

Bana göre, sahte sayfa v4.1'e eklenen en ilginç yeni özelliklerden biri . Saldırganın, en yaygın iki barındırma kontrol paneli olan cPanel ve DirectAdmin için anında bir kimlik avı sayfası oluşturmasına olanak tanıyor .

Yukarıda gösterildiği gibi, saldırganın web kabuğundan sahte kontrol paneli sayfasını kurarken girebileceği birkaç parametre vardır. Burada neler olup bittiğini anlamanıza yardımcı olmak için bunları aşağıda daha ayrıntılı olarak açıkladım.

Paneli :cPanel

Bu parametre saldırganın cPanel veya DirectAdmin ortamını hedef alıp almayacağını tanımlamasına olanak tanır .

Klon sayfası : hxxps://[düzenlendi].com:2083

Bu değişken cPanel veya DirectAdmin URL'sini tanımlar ve sahte sayfanın (kimlik avı sayfası) URL'nin HTML kaynak kodundan oluşturulmasına olanak tanır. Bu, bir tarayıcıda Kaynak Görüntüle'yi kullanırken kopyala/yapıştır işlevlerine benzer , ancak oturum açma verilerini yakalamak için kullanılan ek kodla.

Sahte sayfa kökü : /var/www/html/wordpress/wp-includes/SimpleCake/

Bu parametre, kimlik avı dosyalarının ele geçirilen web sunucusunda barındırılacağı dizini tanımlar.

Şuraya enjekte edin : /var/www/html/wordpress/index.php

Bu, enjekte edilen içeriklerin hangi dosya yolunu kullanacağını tanımlar ve belirli koşullar karşılandığında kullanıcıları sahte sayfa parametrelerine yönlendirir.

Örneğin, bir kurbanın talep ettiği URL'nin cPanel HTTPS bağlantıları için varsayılan port olan ' :2083 ' içermesi durumunda gözlemlenen davranışın ana hatları şöyledir .

İşte, Inject to: dosyasının ( ./index.php ) en üstüne yerleştirilen kod enjeksiyonunun bir örneği :

if(isset($_GET[":2083"])&&(int)$_COOKIE["alfa_fakepage_counter48232"]<3 exit="" html="" implecake="" include="" index.php="" pre="" var="" wordpress="" wp-includes="" www=""> <3 exit="" html="" implecake="" include="" index.php="" pre="" var="" wordpress="" wp-includes="" www="">

Bu enjeksiyon, tanımlanan her iki koşul da sağlanmadığı sürece hiçbir şey yapmayacaktır:

1. Kurbanın talep ettiği URL “ :2083 ” içeriyor
2. Kurbanın HTTP isteği alfa_fakepage_counter ile başlayan bir çerez içeriyor

Bağlamak :/var/www/html/wordpress/wp-login.php

Bu değişken, oluşturulan kimlik avı sayfası tarafından erişilemeyecek veya "engellenecek" dosyayı tanımlar.

Örneğin, wp-login.php'ye bağlandığında kurban, kimlik avı sayfasında birden fazla oturum açma girişimi yapana kadar web sitesinin wp-admin arayüzüne erişemez . Artımlı bir çerez bu girişimleri depolar ve arayüze erişimi kontrol etmek için kullanır: alfa_fakepage_counter48232 + 1.

İşte Bind on dosyasının en üstüne yerleştirilmiş bir kod enjeksiyonunun örneği : ( ./wp-login.php ):

if((int)$_COOKIE["alfa_fakepage_counter48232"]<3 exit="" header="" hxxp:="" localhost="" ocation:="" pre="" wordpress="">

Yönlendirme için kullanılan URL'ye dikkat edin; bu URL, kimlik avı sayfasını yüklemek için gereken koşulu içerir. Bu koşul, URL'nin basitçe " :2083 " içermesidir.

Geçersiz Giriş Sayısı :3

Bu parametre, kurbanın kontrol paneli kimlik avı sayfasını (sahte sayfa) geçebilmesi için gereken oturum açma girişimi sayısını tanımlar.

Mağdur, tanımlanan geçersiz giriş denemelerinin sayısını aşana kadar web sitesinin wp-admin arayüzüne erişemeyecektir .

Oturum Açma : /var/www/html/wordpress/logs.txt

Bu değişken, herhangi bir kimlik avı verisini depolayacak TXT dosyasını tanımlar. TXT biçimini kullanmak, uzak konumlardan hızlı indirmelere olanak tanır ve özellikle saldırganın arka kapıya erişimi herhangi bir nedenle kaybolursa faydalıdır.

Özetlemek gerekirse, fakepage özelliği esasen tehlikeye atılmış bir web sitesinin barındırma kontrol paneline karşı hedefli kimlik avı saldırılarına izin verir. Başarılı olursa, saldırganın ayrıcalıkları artırılır ve kontrol paneline giriş yapabilir.

yapılandırma_yakalayıcı

Bu özellik yapılandırma dosyalarını yinelemeli olarak aramak için kullanılır. İki işlevi kullanır; web kabuğunda görüntüleme için alfaconfig_grabber ve aramayı gerçekleştirmek için Alfa_ConfigGrabber .

Teoride bu potansiyel olarak yararlı bir özellik olabilirken, bu aramalar (yukarıda görüldüğü gibi) hiçbir MySQL veritabanı kullanıcı oturum açma bilgisi içermeyenler de dahil olmak üzere birçok dosya döndürür. Bunun nedeni, $pattern işlevinde bulunan açgözlü arama terimleridir ve bu da çok sayıda gereksiz sonuç döndürmesine neden olur.