Cómo implantar backdoors en un servidor web; lista de todos los backdoors PHP/ASP

Existen numerosas formas para infectar aplicaciones web. El shell backdoor es una forma de script de malware que se usa para crear accesos ocultos en servidores web. Gracias a este backdoor, es posible acceder de forma remota a los archivos del servidor objetivo. Acorde a investigadores en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), hasta la más mínima vulnerabilidad en el código de una aplicación web puede ayudar a un actor de amenazas a inyectar un backdoor, lo que permitiría una amplia variedad de actividades maliciosas.

A continuación, le mostraremos algunos backdoors empleados para la infección de sitios web; esta información puede ser útil para los administradores de sistemas durante los escaneos de servidores web en busca de vulnerabilidades de seguridad. Este es el proceso por el que los hackers cargan backdoors en servidores vulnerables:

  • Para las pruebas, emplearemos DVWA (Dam Vulnerability Web Application)
  • Descargue la ISO de DVWA desde http://www.dvwa.co.uk/DVWA-1.0.7.iso 
  • Para ejecutar DVWA ISO, puede usar Oracle Virtualbox. Descargue Virtualbox e instale el ejecutable
  • Después de la instalación de Virtualbox, importe el ISO de DVWA. Inicie la ISO
  • Se abrirá una terminal, escriba ifconfig. En nuestro caso, la dirección IP de la máquina DVWA en la que se ejecuta el servidor web es 192.168.1.105
  • En la máquina del atacante, abra el navegador y escriba http://192.168.1.105
  • Obtendrá la página de inicio de sesión de DVWA
  • Credenciales de acceso predeterminadas
    • Usuario: admin
    • Contraseña: password
  • Ahora, en la máquina hacker, descargue el backdoor de prueba
  • Descargar desde: https://github.com/backdoorhub/shell-backdoor-list
  • Si está utilizando Google Chrome, el navegador podría mostrar una advertencia o bloquear el backdoor antes de descargarlo
  • En ese caso, emplearemos Mozilla Firefox
  • Mozilla Firefox ofrece la opción de descargar este tipo de archivos. Después de descargar el archivo zip, descomprima el shell backdoor
  • Regrese al inicio de sesión de DVWA. Ingrese las credenciales de acceso
    • Usuario: admin
    • Contraseña: password
  • Para comenzar las pruebas en DVWA, debemos bajar la seguridad tal como se muestra a continuación. Para eso vaya a DVWA Security
  • Haga clic en Low (reducir) y luego haga clic en Submit (enviar), mencionan los expertos en hacking ético
  • Todo el shell backdoor se cargará explotando una vulnerabilidad de carga de archivos. Haga clic en Choose backdoor file y luego haga clic en Upload (cargar). Mostraremos cómo funciona en los siguientes pasos
  • Se cargará el backdoor, descargado anteriormente
  • Comenzando con el primero: 0byt3m1n1_Backdoor
  • Vaya a: http://192.168.1.105/vulnerabilities/upload

0BYT3M1N1_BACKDOOR

  • Seleccione 0byt3m1n1_Backdoor
  • Haga clic en Upload (cargar); a continuación se mostrará el mensaje “Succsesfully Uploaded” (cargado correctamente)
  • Después de cargar el backdoor, el atacante podrá acceder a los archivos del servidor web. Dependiendo de la funcionalidad del backdoor, el atacante incluso podría hacer cambios o copiar archivos a otra ubicación
  • Para acceder al backdoor, abra el navegador y escriba http://192.168.1.105/hackable/uploads/0byt3m1n1.php
  • Arriba se muestra que el backdoor 0byt3m1n1 tiene acceso a todos los archivos en el servidor web
  • 0byt3m1n1 proporciona una funcionalidad básica para editar, renombrar o eliminar los archivos comprometidos
  • El atacante puede editar los archivos que se encuentran en el servidor
  • Los investigadores de hacking ético de IICS mencionan que, en caso de que la seguridad en el servidor sea alta, el hacker podría emplear métodos avanzados para cargar el backdoor, lo que implica incrustar el código malicioso en un archivo de imagen

AK74SHELL BACKDOOR

  • Para probar otras variantes, vaya a http://192.168.1.105/vulnerabilities/upload
  • Después de cargar el backdoor, vaya al navegador y escriba http://192.168.1.105/hackable/uploads/ak74shell.php
  • El backdoor ak47shell tiene muchas opciones para explorar el servidor objetivo
  • La opción General Information muestra de forma clara el sistema operativo en el que se ejecuta el sitio web y otros detalles como el software del servidor, la dirección IP de origen y la dirección IP del atacante
  • Pasando a otras opciones, File Manager muestra todos los archivos que están disponibles en el servidor web
  • Arriba muestra los directorios, archivos con fechas de cambio recientes, permiso de acceso y da la opción de editar y eliminar
  • ak74shell cambia los parámetros del archivo para ejecutar el código deseado
  • Este backdoor php también ofrece una opción para ejecutar el comando del shell de Linux
  • Haga clic en Execute the Command y escriba cualquier comando de Linux; ls mostrará los archivos en el directorio actual
  • Arriba se muestra el Shell de comandos de ak74shell, que se puede usar para cambiar o eliminar cualquier archivo importante del servidor

P0WNY BACKDOOR

  • Probemos otro backdoor; abra el navegador y escriba http://192.168.1.105/vulerabilites/upload
  • Después de cargar el backdoor, abra el navegador y escriba http://192.168.1.105/hackable/uploads/p0wny.php
  • Este backdoor brinda acceso directo a los archivos en el servidor web
  • p0wny abrirá el shell de comandos de Linux
  • El atacante puede ejecutar diferentes comandos de Linux para acceder a directorios y archivos

  • Arriba se muestra el shell de Linux p0wny, que es la vulnerabilidad más peligrosa para cualquier servidor web
  • De manera similar, puede probar otros backdoors que están disponibles en GitHub. Esto puede ayudar en el análisis de vulnerabilidades en aplicaciones web
PHP Shell :
   B374K Shell
 
   C99 Shell
 
   R57 Shell
 
   Wso Shell
 
   0byt3m1n1 Shell
 
  Alfa Shell
 
  AK-47 Shell
 
  Indoxploit Shell
 
  Marion001 Shell
 
  Mini Shell
 
  p0wny-shell
 
  Sadrazam Shell
 
  Webadmin Shell
 
  WordPress Shell
 
ASP Shell :
  Pouya Shell
 
  Kacak Asp Shell
 
  Asp Cmd (Old ISS)
 
  Asp Cmd (New ISS)