Discussione Advanced PHP Meterpreter payload per webservers - Bypass EDR - Bug bounty per 'upload file injection + LFI'

Netcat

Helper
17 Gennaio 2022
526
145
383
716
Ultima modifica:
Presento un file PHP originariamente generato con Metasploit e quasi 50 detection, modificato con 2 tecniche di offuscamento, sarà sceso a massimo una detection (se va tutto bene):

base64
rename variable function (ho scelto i nomi dei cantanti italiani come stringa di offuscamento)

Questa combinazione di tecniche permette di eludere facilmente un EDR, a meno che non abbia una configurazione che blocchi esplicitamente tutti gli IP esclusi da un certo range o nazione. I malware in PHP sono facili da assemblare, insidiosi e potenti, essendo basati su un framework sfruttato in ampia scala nel web development. Questa categoria di malware, essendo basata su uno script piuttosto che un eseguibile indipendente, viene eseguita nel contesto dell'interprete locale (quello di PHP in questo caso), interprete di cui l'EDR medio si fida, lasciando il malware libero.


Per i nuovi che si accingono al pentesting:

Ideale nei bug bounties autorizzati per testare i form di upload, e scoprire errori di parsing fatali ✔️
Ideale per concatenare più vulnerabilità e ottenere RCE sul server remoto: es. BAC (Broken Access/upload Control) + LFI (Local File Inclusion) ✔️


Non usare i malware in PHP in campagne di attacchi basati su ingegneria sociale (anche se legalmente autorizzati), Windows non solo non li esegue nativamente, ma è anche duro configurarlo per riuscirci ❌
Solo alcune distro Unix-like li eseguono nativamente, ma vi consiglio di non scammare gente che usa Linux con questa roba, perché al 100% venite scoperti. Un utente neofita potrebbe rimanere confuso di fronte al codice, ma un web developer strapperebbe il cavo di internet se trova questa roba in var/www/html. ❌


L'uso legale di questo codice è sotto la propria responsabilità individuale, non servitevene in pratiche illecite. A tal proposito, gli "hacker" che si cimentano nel testare i form di upload in siti a caso di sconosciuti, rischiano di rimanere vittime di un gioco sadico: alcuni 'difensori' trolloni, hostano volontariamente form di upload affetti da Broken Access Control, inducendo lo script kiddie a uppare roba come PHP Meterpreter o altre webshell, ma poi programmano il server per far sì che i file caricati non possano essere richiesti (vengono caricati in una directory non raggiungibile, a meno che il server non è vulnerabile a Path Traversal (dubito). Il malware caricato, rimane dunque bloccato in questa DIR, e avete semplicemente consegnato il vostro IP al logger, insieme alla richiesta POST contenente il file malevolo. Preparatevi a ricevere la pula in casa 👮 👮


Codice: index.zip
 

Allegati

  • index.zip
    873 bytes · Visualizzazioni: 2
Complimenti per il lavoro Netcat, appena ho tempo sono curioso di dare un'occhiata al codice.

a meno che non abbia una configurazione che blocchi esplicitamente tutti gli IP esclusi da un certo range o nazione.
Da quello che ho capito questa è più roba da firewall con regole statiche che da EDR. Un endpoint detection and response raccoglie una grossa mole di dati da più endpoint e dopo li inoltra ad un cloud centralizzato per successive elaborazioni: a partire dai dati vengono effettuate analisi comportamentali per rilevare comportamenti sospetti, si generano allarmi e si interviene in modo proattivo per eliminare eventuali minacce. Sembrerebbe l'ultimo "scudo" da bypassare, una volta raggirato l'AV e il firewall, per raggiungere il target.
 
Ultima modifica:
Il firewall di Inforge è troppo aggressivo infatti e mi ha bloccato il codice con 403 ... Appena usi argomenti strani con i tag <> questo sito ti fulmina.. Potevo solo allegarlo... O "rovinarlo" in alternativa, che non mi piaceva.
Messaggio unito automaticamente:

Questo sito non si fa fare niente a dire il vero.. Se tutti i server usassero la sicurezza che usa Inforge il web hacking diverrebbe ristretto solo all'elite.. Devo riuscire a trovarla un XSS qua sopra, secondo me è annidata ma c'è (ovviamente la segnalo in privato invece di farci il post pubblico)
 
Questo sito non si fa fare niente a dire il vero
Un po' di tempo fa (anno 2017) St3ve e nullptr avevano trovato una falla nella chatbox telegram di Inforge. Sono riusciti a scrivere messaggi a nome di altri utenti. La vulnerabilità consisteva, in breve, nella trasmissione in chiaro del token verso l'API RESTful del server della chatbox. Intercettando il token, quindi, si poteva scrivere sulla chat con l'account di un altro utente. 😁
 
  • Mi piace
Reazioni: hackynonpointer