Ultima modifica:
Presento un file PHP originariamente generato con Metasploit e quasi 50 detection, modificato con 2 tecniche di offuscamento, sarà sceso a massimo una detection (se va tutto bene):
base64
rename variable function (ho scelto i nomi dei cantanti italiani come stringa di offuscamento)
Questa combinazione di tecniche permette di eludere facilmente un EDR, a meno che non abbia una configurazione che blocchi esplicitamente tutti gli IP esclusi da un certo range o nazione. I malware in PHP sono facili da assemblare, insidiosi e potenti, essendo basati su un framework sfruttato in ampia scala nel web development. Questa categoria di malware, essendo basata su uno script piuttosto che un eseguibile indipendente, viene eseguita nel contesto dell'interprete locale (quello di PHP in questo caso), interprete di cui l'EDR medio si fida, lasciando il malware libero.
Per i nuovi che si accingono al pentesting:
Ideale nei bug bounties autorizzati per testare i form di upload, e scoprire errori di parsing fatali
Ideale per concatenare più vulnerabilità e ottenere RCE sul server remoto: es. BAC (Broken Access/upload Control) + LFI (Local File Inclusion)
Non usare i malware in PHP in campagne di attacchi basati su ingegneria sociale (anche se legalmente autorizzati), Windows non solo non li esegue nativamente, ma è anche duro configurarlo per riuscirci
Solo alcune distro Unix-like li eseguono nativamente, ma vi consiglio di non scammare gente che usa Linux con questa roba, perché al 100% venite scoperti. Un utente neofita potrebbe rimanere confuso di fronte al codice, ma un web developer strapperebbe il cavo di internet se trova questa roba in var/www/html.
L'uso legale di questo codice è sotto la propria responsabilità individuale, non servitevene in pratiche illecite. A tal proposito, gli "hacker" che si cimentano nel testare i form di upload in siti a caso di sconosciuti, rischiano di rimanere vittime di un gioco sadico: alcuni 'difensori' trolloni, hostano volontariamente form di upload affetti da Broken Access Control, inducendo lo script kiddie a uppare roba come PHP Meterpreter o altre webshell, ma poi programmano il server per far sì che i file caricati non possano essere richiesti (vengono caricati in una directory non raggiungibile, a meno che il server non è vulnerabile a Path Traversal (dubito). Il malware caricato, rimane dunque bloccato in questa DIR, e avete semplicemente consegnato il vostro IP al logger, insieme alla richiesta POST contenente il file malevolo. Preparatevi a ricevere la pula in casa
Codice: index.zip
base64
rename variable function (ho scelto i nomi dei cantanti italiani come stringa di offuscamento)
Questa combinazione di tecniche permette di eludere facilmente un EDR, a meno che non abbia una configurazione che blocchi esplicitamente tutti gli IP esclusi da un certo range o nazione. I malware in PHP sono facili da assemblare, insidiosi e potenti, essendo basati su un framework sfruttato in ampia scala nel web development. Questa categoria di malware, essendo basata su uno script piuttosto che un eseguibile indipendente, viene eseguita nel contesto dell'interprete locale (quello di PHP in questo caso), interprete di cui l'EDR medio si fida, lasciando il malware libero.
Per i nuovi che si accingono al pentesting:
Ideale nei bug bounties autorizzati per testare i form di upload, e scoprire errori di parsing fatali
Ideale per concatenare più vulnerabilità e ottenere RCE sul server remoto: es. BAC (Broken Access/upload Control) + LFI (Local File Inclusion)
Non usare i malware in PHP in campagne di attacchi basati su ingegneria sociale (anche se legalmente autorizzati), Windows non solo non li esegue nativamente, ma è anche duro configurarlo per riuscirci
Solo alcune distro Unix-like li eseguono nativamente, ma vi consiglio di non scammare gente che usa Linux con questa roba, perché al 100% venite scoperti. Un utente neofita potrebbe rimanere confuso di fronte al codice, ma un web developer strapperebbe il cavo di internet se trova questa roba in var/www/html.
L'uso legale di questo codice è sotto la propria responsabilità individuale, non servitevene in pratiche illecite. A tal proposito, gli "hacker" che si cimentano nel testare i form di upload in siti a caso di sconosciuti, rischiano di rimanere vittime di un gioco sadico: alcuni 'difensori' trolloni, hostano volontariamente form di upload affetti da Broken Access Control, inducendo lo script kiddie a uppare roba come PHP Meterpreter o altre webshell, ma poi programmano il server per far sì che i file caricati non possano essere richiesti (vengono caricati in una directory non raggiungibile, a meno che il server non è vulnerabile a Path Traversal (dubito). Il malware caricato, rimane dunque bloccato in questa DIR, e avete semplicemente consegnato il vostro IP al logger, insieme alla richiesta POST contenente il file malevolo. Preparatevi a ricevere la pula in casa
Codice: index.zip