Indetectables

WeBaCoo (Web Backdoor Cookie) es un backdoor web script-kit que proporciona una terminal de conexión a través de HTTP entre el cliente y el servidor web. Se trata de una herramienta de explotación para mantener el acceso a un servidor web (hacked).

WeBaCoo fue diseñado para operar bajo el radar de la moderna puesta al anticuado AV, NIDS, IPS, Network Firewalls y Application Firewalls, lo que demuestra un mecanismo de sigilo para ejecutar comandos en el servidor comprometido. El archivo ofuscado realiza comunicación mediante HTTP header's Cookie validando solicitudes y respuestas HTTP del servidor web.

WeBaCoo ofrece un modo de generar el código para crear el PHP backdoor, usando payloads predefinidos. También ofrece la "terminal" el modo en que el usuario puede establecer una remota conexión con el servidor y ejecutar comandos con privilegios deseados del servicio web.

En muchos casos, esta herramienta es muy usada cuando un servidor no tiene instalado el Netcat.

INSTALACIÓN:
- git clone git://github.com/anestisb/WeBaCoo.git
- wget [Enlace externo eliminado para invitados]
- ./webacoo.pl -h


COMANDOS:

1) Crear backdoor ofuscado 'backdoor.php' con la configuración predeterminada: 2) Crear 'raw-backdoor.php' backdoor des-ofuscado usando la funciona "transito": 3) Establecer "terminal" conexión con el host remoto usando la configuración por defecto: 4) Establecer "terminal" conexión con el host remoto al configurar algunos argumentos: 5) Establecer "terminal" conexión con el host remoto a través de proxy HTTP: 6) Establecer "terminal" conexión con el host remoto a través de HTTP proxy con autenticación básica: 7) Establecer "terminal" conexión con el host remoto a través de Tor y registrar la actividad: Ahora bien, teniendo la herramienta instalada y conociendo los comandos, procederemos a crear el backdoor para obtener conexión con el servidor web desde la consola.

Para este caso he obtenido un servidor cualquiera (hacked) donde subiré el backdoor que creare con el siguiente comando:

El backdoor.php se crea y ubica en la carpeta de los archivos (WeBaCoo), entonces subiremos dicho archivo al servidor (hacked) y procederemos a conectarnos al servidor con el siguiente comando:

La conexión hacia el servidor es perfecta, por lo que obtendremos la conexión muy rapida.

Comandos Simples:


En este caso colocaremos "load" para ver los comandos con los que manejaremos todo el servidor, las cuales son los siguientes:

En este caso colocaremos "load" para ver los comandos con los que manejaremos todo el servidor, las cuales son los siguientes:

1) MySQL-CLI: MySQL Command Line Module: 2) PSQL-CLI: Postgres Command Line Module: 3) Upload: File Upload Module: 4) Download: File Download Module: 5) Stealth: Enhance Stealth Module

Estos comandos son fáciles de usar, haré una breve demostración con el comando MySQL-CLI para obtener y conectarme a la db del servidor.

1) Descargamos el archivo de configuración:

2) Abrimos el archivo configuration.php copiar el user y password del MySQL, tecleamos el comando:

3) La tool conectara al MySQL, solo nos queda teclear show databases; para apreciar toda la DB.

De igual forma utilizaremos los demás comandos para subir un local root exploit o descargar cualquier archivo del servidor.

Ahora con esta herramienta ya no es necesario que un servidor web tenga el Netcat o hacer un BackConnection que muchas veces no funciona, para conectarse a un servidor web.

Espero les sirva.

Saludos.

ESTA BONITO .3 IGUAL QUE TUBLOG SI NO ME EQUIVOCO EST RE GENIAL ME GUSTARIA QUE ME AYUDARAS UN POO CN EL BACKTRACK GRACIAS DE ANTE MANO :)

:O segundo post que veo tuyo y la verdad es que muy bien explicado, los haces tu? :O:O

no habia una forma de hacerlo ya desde metasploit, creando un payload.php? :/

de todas formas muchas gracias compa,
muy util ^^

Saludos

esta exelente, de hecho cada vez que veo tus post me dan ganas da aprender de backtrack y metasploit