Ofuscar una PHPShell (Indetectar Codigo fuente)

Ofuscar una PHPShell (Indetectar Codigo fuente)

      ¿Como hacer indetectable una PHP Shell?  

(FUD a los Antivirus)
Para los que no saben que es una PHP Shell (En definición a "Defacement").
PHP Shell o Shell PHP es un programa o script desarrollado íntegramente en PHP. Su principal función es la posibilidad de ejecutar los famosos shell-commands en el servidor donde se encuentre.
Algunos tienen bastas funciones, como la de explorar los directorios en el servidor en que se encuentre, crear archivos y eliminar, crear directorios y eliminar, editar archivos en texto plano, establecer una conexión MySQL, PostgreSQL u Oracle, establecer una conexión con NetCat, cambiar permisos a los elementos del servidor, etc.
(Fuente | Wikipedia)
Teniendo en cuenta que ya cualquier PHPShell es detectada por los antivirus, sin embargo, los servidores escanean este tipo de Scripts en sus sitios web, y muy difícil que el atacante pueda ejecutar la PHP Shell.
La Shell C99 es detectada por todos los antivirus, sin embargo, existe la base64 c99 que es la misma versión unicamente ofuscada en Base 64 y es FUD (Indetectable).

Tomare un ejemplo de la Shell 7 Storm la versión sin modificar y ahora la subiré a NovirusThanks para ver cuantos antivirus lo detectan..
Al parecer es detectado por unos cuantos antivirus:

File Info
Report date: 2011-07-27 20:22:08 (GMT 1)
File name: storm7shell-php
File size: 546324 bytes
MD5 Hash: da6048d0dbe0c97dbf6984a87056b7e9
SHA1 Hash: fa3975a0ff016599b844f396a01ddcfbe53304e9
Detection rate: 4 on 5 (80% )
Status: INFECTED

Detections

AVG - Citem_c.IBT
Avira AntiVir - PHP/C99Shell.546575
ClamAV - Trojan.PHP.C99Shell
Emsisoft - Backdoor.PHP.C99Shell.y!IK
TrendMicro -

Scan report generated by
NoVirusThanks.org

¿Como hacemos indetectable a esos antivirus?
1) Para ofuscar el código nos vamos a la pagina de Code eclipse y pegamos el código de la PHP SHELL.
2) Una vez puesto el código de fuente de la Shell damos clic en Next >
3) Nos aparecerá unas opciones, sin tocar nada damos clic Encode > 

Code Eclipse - Encode tool ofuscation

4) Dentro de algunos segundos o minutos nos aparecerá el código ofuscado. (El tiempo del proceso depende el peso del código) 

Código ofuscado

Ahora lo subimos nuevamente a novirusthanks para comprobar su indetectabilidad.

File Info
Report date: 2011-07-27 20:49:33 (GMT 1)
File name: storm7shell-ofuscation-php
File size: 1427333 bytes
MD5 Hash: bd5fd88671bc18fc1dc7a1544a59e22b
SHA1 Hash: 75b9225dd1429d201e7b029a071842cfe635686d
Detection rate: 0 on 5 (0%)
Status: CLEAN

Detections

AVG - 
Avira AntiVir - 
ClamAV - 
Emsisoft - 
TrendMicro - 

Scan report generated by
NoVirusThanks.org

Armitage

¿Que es armitage? armitage es una herramienta gráfica para automatizar los ataques de metasploit, muy útil al momento de realizar una penetración a un servidor, ya que al momento de realizar un escaneo a un objetivo te dice que exploits son lo que podrían servir contra el objetivo, cuenta con muchas mas opciones que explicaremos mas adelante.

TUTORIAL:

Primero debemos sacar la dirección IP de nuestra victima, a través de un ping a su servidor web,debemos abrir una terminal y hacerle ping a la Pagina web.

# ping www.paginaweb.com

El cual nos devolverá la ip (72.32.231.8) del servidor en el cual esta alojada la pagina web.

A continuación trabajaremos directamente con Armitage,para ello abriremos otra terminal e iniciaremos el armitage

# armitage

Le daremos a connect

Aquí nos dice que el servidor rpc no se esta ejecutando y nos pregunta si queremos iniciarlo nosotros, le damos a yes y comenzara a iniciarse, si es la primera vez que ocupan armitage se demorara un poco en conectarse.

Bueno una vez abierto iremos a Hosts/Add hosts...

Ingresamos la direccion IP de nuestro objetivo y le damos a  Add

una vez que adhieran la dirección IP les saldrá un icono de un monitor y la ip debajo de el, le damos click derecho y click en scan para realizare un escaneo al servidor, el escaneo nos dirá que puertos están abiertos,que sistema operativo es que esta instalado y que servicios corren por los puertos,etc... 

Esperamos a que el escaneo finalice.

Como se puede ver en la imagen el servidor es linux, si subimos al principio podremos ver los puertos que se encuentran abiertos.

Bueno sigamos, iremos a attacks/find attacks , para ver que ataques podrían servir contra el objetivo le damos click y esperamos ya que demora un poco, una vez finalizado nos saldrá un recuadro diciendo que el escaneo de ataques finalizo.

Una vez finalizado el escaneo de posibles ataques le damos click derecho al objetivo y nos saldrá la lista de todas las posibles vulnerabilidades a explotar, si se fijan aparece una opción para probar si el exploit sirve con la vulnerabilidad encontrada (check exploits) pero no todos los exploits soportan esta opción.

Le dan a check exploits para probarlos, esta es la mejor parte de armitage ya que nos ahorra el tiempo de ir probando los exploits uno por uno, bueno si probaron los exploits y ninguno sirvió pueden seguir probando con los distintos servicios .

(el objetivo no es explotable)

como vemos encontró una vulnerabilidad y se puede explotar :) iremos al objetivo nuevamente y le daremos

click derecho attack y  buscamos la vulnerabilidad encontrada en este caso (tikiwiki_graph_formula_exec) y le damos click, se nos abrira esta consola en donde podremos configurar nuestro exploit.

Le damos a Launch para lanzar el exploit, una vez listo el exploit nos dará la opción de abrir una shell al servidor y  al icono de nuestro objetivo le saldrán rayos al mas puro estilo de una película de hackers de hollywood xd.

esta la opción de subir un archivo podríamos subir una backdoor si queremos mantener el acceso al servidor, un troyano o un keylogger, hay depende de las intenciones que tengan, pero por ahora lo dejaremos hasta aquí.