Ασφαλής χρήση του Διαδικτύου: Συμβουλές για παιδιά

Tα Web shells είναι μικρά προγραμματα η σκριπτακια τα οποια μπορούν να ανεβάσουν (upload) σε ευπαθείς servers και μετα να ανοιχτουν σε ενα προγραμμα περιηγησης παρεχοντας ενα web interface που θα εκτελει εντολες συστηματος.

Με λιγα λογια ειναι backdoors (οι λεγομενες κερκοπορτες) οι οποιες τρεχουνε απο ενα προγραμμα περιηγησης.

Για καθε server,το σκριπτακι η το web shell που θα χρησιμοποιηθει θα πρεπει να ειναι στη γλωσσα που τρεχει η χρησιμοποιει ο sever.(php,asp κτλ).Ετσι λοιπον, αν προκειται για εναν

php server τοτε θα πρεπει να βρουμε ενα php shell.Tα Web shells τρεχουν λιγο φτωχα στο παγκοσμιο ιστο για αυτο το λογο δεν υπαρχει καποια υποδοχη επικοινωνιας οπως χρησιμοποιητε στη περιπτωση του reverse shell οπου ο web server θα πρεπει να συνδεθει με ενα προγραμμα οπως πχ το netcat στου χακερ το μηχανημα ομως.

Για αυτο το λογο τα web shells ειναι πολυ γρηγορα στο στησιμο τους και την εφαρμογη τους.Ωστόσο το μειονέκτημα τους είναι ότι δεν έχουν το διαδραστικο ύφος ενός τερματικού.

Τα web shells παρεχουν ενα γρηγορο γραφικο περιβαλλον που μπορουν να κανουν τα ακολουθα.

1) να περιηγηθουν σε καταλογους

2) να εμφανισουν αρχεια

3) να παρεμβουν σε αρχεια η αν γραψουν αρχεια

4) να κατεβασει αρχεια

5) να διαγραψει αρχεια

6) να ανεβασει αρχεια

7) να εκετελεσει sql εντολες

8) να κανει bypass στην ασφαλεια

9) να εχει προσβαση σε καταλογους-υποκαταλογους.

10) να εκτελεσει εντολες των shells.

Web shells που υπαρχουν στο kali-linux βρισκονται σε αυτη τη διαδρομη

/usr/share/webshells/

Παρολο που περιεχει αρκετα χρησιμα web shells δεν περιέχει τα πιο ”καταστροφικα” που εχουν οι χακερς.

Το Web shell μπορει να τρεξει απο ενα προγραμμα περιηγησης με ενα url οπως αυτο http://target.com/simple-backdoor.php?cmd=cat+/etc/password

H Get παράμετρος cmd περιεχει την εντολή που θα τρεξει στο συστημα.Το σκριπτακι θα τρεξει την εντολη και θα στειλει πισω το αποτελεσμα.

Οι παράμετροι Get δεν είναι ο μονος τροπος να στελνουμε εντολες. Εντολες μπορουν να σταλθουν μεσω post μεσω cookies η ακομα και απο http.

Οι backdoors εχουν και τους περιορισμους τους.Πολλοι web servers εχουν απενεργοποιησει τη λειτουργια php που χρησιμοποιητε για να τρεξει εντολες.

Σε αυτη τη περιπτωση το web shell αποτυγχανει να τρεξει την εντολη.

Επισης ο σερβερ στοχος μπορει να εχει και firewall antivirus που εντοπιζουν τετιοα shells.H ανιχνευση βασιζεται στο hash md5 του αρχειου.

Σε αυτη τη περιπτωση η θα πρεπει να τροποποιησουμε το αρχειο σε μια καταληξη που να μην ειναι ανιχνευσιμη η να γραψουμε το δικο μας shell.

Tο να γραψουμε ενα δικο μας shell δεν ειναι δυσκολο εαν βεβαια γνωριζουμε τη γλωσσα php.

• Author Details

Αλέξανδρος Βυζάντιος

Hacks.gr

Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας. Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους. Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.

https://hacks.gr/

alex@hacks.gr

Related posts:

Ιδεολογία Hacking Διαφορές Hacker με Cracker Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Η προστασία μιας ιστοσελίδας WordPress είναι κρίσιμη για τη διατήρηση της ασφάλειάς της. Εδώ έχουμε μερικές βασικές οδηγίες για το πώς να προστατεύσετε την ιστοσελίδα σας:

1. Κρατήστε το WordPress, θέματα και πρόσθετα ενημερωμένα: Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις ασφαλείας. Βεβαιωθείτε ότι το WordPress, τα θέματά σας και τα πρόσθετά σας είναι πάντα ενημερωμένα.
2. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Χρησιμοποιήστε μία συνδυασμό πεζών και κεφαλαίων γραμμάτων, αριθμών και ειδικών χαρακτήρων για τους κωδικούς πρόσβασης του διαχειριστή σας.
3. Περιορίστε τις προσπάθειες σύνδεσης: Εγκαταστήστε ένα πρόσθετο περιορισμού προσπαθειών σύνδεσης (login attempts) για να αποτρέψετε επιθέσεις brute force.
4. Χρησιμοποιήστε SSL/HTTPS: Εγκαταστήστε ένα πιστοποιητικό SSL για να κρυπτογραφείτε την επικοινωνία με την ιστοσελίδα σας, προσφέροντας έτσι ασφαλή σύνδεση.
5. Περιορίστε την πρόσβαση στον φάκελο wp-admin: Μπορείτε να περιορίσετε την πρόσβαση στον φάκελο wp-admin μόνο σε συγκεκριμένες IP διευθύνσεις.
6. Ενεργοποιήστε την διήθηση δύο παραγόντων (2FA): Η συνδεση δύο παραγόντων προσθέτει επιπρόσθετη ασφάλεια, απαιτώντας έναν επιπλέον κωδικό εκτός από τον κωδικό πρόσβασης.
7. Καθαρίστε τον κώδικά σας: Αναζητήστε τυχόν αδυναμίες στον κώδικά σας και επιδιορθώστε τις αμέσως. Επιπλέον, απενεργοποιήστε ή διαγράψτε πρόσθετα ή θέματα που δεν χρησιμοποιείτε.
8. Εφαρμόστε αντι-DDoS μέτρα: Χρησιμοποιήστε μια υπηρεσία προστασίας από DDoS επιθέσεις για να προστατεύσετε την ιστοσελίδα σας από υπερφορτώσεις και επιθέσεις αυξημένης κίνησης.
9. Κάντε τακτικά αντίγραφα ασφαλείας: Κάντε τακτικά αντίγραφα ασφαλείας της ιστοσελίδας σας, συμπεριλαμβανομένης της βάσης δεδομένων, για να αποκαταστήσετε την ιστοσελίδα σε περίπτωση προβλημάτων.

• Author Details

Αλέξανδρος Βυζάντιος

Hacks.gr

Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας. Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους. Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.

https://hacks.gr/

alex@hacks.gr

Related posts:

Τι είναι οι επιθέσεις «ψαρέματος» και πως να τις αποφύγουμε. Προστατεύοντας την Επιχείρησή σας: Η Σημασία της Κυβερνοασφάλειας Υποκλοπή Cookies: Προστατεύοντας την Ιδιωτικότητά σας στον Ψηφιακό Κόσμο Προστατεύοντας τον Ιστότοπό σας: Οι Αόρατοι Κίνδυνοι των Επιθέσεων XSS και Πώς να Αμυνθείτε