C99Shell et dé-obfuscation
Par Mathieu le mardi 6 avril 2010, 18:05 - Hacks - Lien permanent
Ayant eu récemment l'occasion de travailler sur un site s'étant fait own3d par un script kiddie via la faille phpMyVisites, j'ai eu l'occasion d'essayer C99Shell, l'outil qui était utilisé par ces derniers pour accéder au backend du site.
C99Shell est un outil pour script kiddie qui permet de faire, entre autre :
- BruteForce FTP
- Execution de code arbitraire
- Upload/Modification/Lecture de fichiers
- Recherche automatique de mots de passe phpBB et autres
- ...
Non je ne fournit pas le code. J'ai pourtant été obligé pour le lancer et pour contourner le mot de passe qui était hardcodé dans le code, de le dé-obfusquer.
Voici donc un petit script pour dé-obfusquer rapidement ce genre de code qui est créé à coup de eval(base64_decode(...)) : decode_eval_base64sh
Pour servir à d'autres, ou à moi comme aide mémoire (nécessite php5-cli).
Commentaires
Merci,
n'étant pas un fanatique de la re-invention de la roue j'apprecie ce genre de ressources.