标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1803] 作者: 对不起 发表于: [2018-09-03]
本文共 [453] 位读者顶过
webacoo(web backdoor cookie)是一个web后门脚本工具包,旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV,NIDS,IPS,网络防火墙和应用防火墙的检测,能够在被拿下的服务器中悄无声息的执行系统命令 [出自:jiwo.org] 这种混淆的通信是在有效的客户端HTTP请求和服务器响应中利用HTTP头信息cookie字段来完成的。 使用WeBaCoo生成PHP后门文件的命令如下: webacoo -g -o /root/backdoor.php 只要攻击者将恶意代码发送到某个网站以便访问这个网站或者文件,这段代码就是后门shell。
本文我们不将这段后门文件backdoor.php上传到某台真实的服务器中来搞破坏,而是上传到我们在本地搭建的DVWA环境中来做实验。 现在我们需要把刚才生成的backdoor.php文件上传web服务器中,假设服务器对上传文件不进行任何限制。这些限制一般都是指定上传文件的扩展名或者检查content-type。举例来说,如果允许上传text和image类型文件,那我们就可以上传恶意PHP文件来绕过并作为web应用来执行,这没有任何问题。 为了演示,这里我们把DVWA安全等级设置为低,然后上传backdoor.php文件,如图:
可以看到,上传成功后,文件上传的路径也显示出来了。 最后一步是用WeBaCoo工具去连接这个backdoor.php文件,使用如下命令: webacoo -t -u http://192.168.1.2/dvwa/hackable/uploads/backdoor.php
可以看到,我们进入了一个webacoo终端,这里有一点需要注意,执行命令时要在前面加上一个冒号(:),这样你就可以在靶机上执行系统命令了,如pwd和uname等。
文件上传通常都会给web应用带来一定的危险,因为在很多攻击中,第一步都是将恶意代码上传到被攻击的系统中,然后只要想办法让代码执行即可完成攻击。而文件上传功能恰好是帮助攻击者完成了这第一步。 总之,攻击者的目标就是在他们想攻击的web网站上插入代码,然后通过任意方式执行恶意代码。所以网站管理员们一定要对文件上传进行严格限制,至于如何进行限制和防御,这里我就不多啰嗦了。 最后,本文内容比较简单粗暴,主要讲解这款后门生成工具WeBaCoo的使用方法,大家可以在本地复现一下,以后在实战中也不失为一种思路。 |