Веб-шеллы с самого начала. Как серверы захватывают через веб-приложение

Веб‑шелл (web-sell, веб‑обо­лоч­ка) — инс­тру­мент для ком­фор­тно­го уда­лен­ного выпол­нения кода на сер­вере. Обыч­но это скрипт, который работа­ет как обыч­ное веб‑при­ложе­ние. Задача скрип­та — выпол­нить в сис­теме отправ­ленную поль­зовате­лем коман­ду и вер­нуть резуль­тат. Скрипт пишет­ся на язы­ке, который уста­нов­лен на кон­крет­ном веб‑сер­вере.

Ча­ще все­го это скрипт на PHP, так как PHP — самый рас­простра­нен­ный на вебе сер­верный язык прог­рамми­рова­ния. Но веб‑шелл может быть написан и на любом дру­гом язы­ке: Python, JavaScript (Node.js), Java, Go и про­чих. Кон­крет­ная плат­форма зависит от того, как скон­фигури­рован сер­вер и какие интер­пре­тато­ры уста­нов­лены.

Чи­тая статьи про веб‑шел­лы, ты чаще все­го встре­тишь фор­мулиров­ку «вре­донос­ная прог­рамма». На самом деле веб‑шел­лами поль­зуют­ся и для адми­нис­три­рова­ния сер­веров, что­бы не кон­нектить­ся все вре­мя по SSH или RDP. Вре­донос­ность появ­ляет­ся толь­ко в том слу­чае, ког­да веб‑шелл заг­ружен на сер­вер несан­кци­они­рован­но и исполь­зует­ся хакером для зах­вата кон­тро­ля.

Прос­тей­ший при­мер веб‑шел­ла на PHP:

Скрипт получа­ет GET-параметр cmd и переда­ет на выпол­нение фун­кции shell_exec(). Фун­кция shell_exec() сооб­щает веб‑сер­веру, что нуж­но выпол­нить опре­делен­ный код в опе­раци­онной сис­теме. Резуль­тат выпол­нения воз­вра­щает­ся на веб‑стра­ницу. Обер­тка <pre>...</pre> нуж­на, что­бы вывод был чита­емым, а не сва­лен­ными в кучу сим­волами.

Да­вай на прак­тичес­ком при­мере пос­мотрим, как это работа­ет. Для это­го сох­рани при­мер веб‑шел­ла в файл shell.php и запус­ти Docker-кон­тей­нер, при­мон­тировав пап­ку. Выпол­ни коман­ду

В Windows PowerShell могут пот­ребовать­ся кавыч­ки:

Пос­ле запус­ка кон­тей­нера открой в бра­узе­ре такой URL:

http://localhost:8087/shell.php?cmd=ls%20-la

На стра­нице уви­дишь клас­сичес­кую работу ls -la.

Поп­робуй вмес­то ls -la коман­ды вро­де whoami, id, uname -a или любые дру­гие коман­ды опе­раци­онной сис­темы.

В Windows могут воз­никнуть проб­лемы с запус­ком. Штат­ный защит­ник, видя в фай­ле shell_exec($_GET['cmd']) или system($_GET['cmd']), клас­сифици­рует файл как вре­донос­ный и уда­ляет его. Баналь­ная обфуска­ция решит проб­лему:

GET-парамет­ры — неп­лохой вари­ант для начала, но не самый удоб­ный. Для ком­фор­тной работы поп­робуй аль­тер­нативу со стро­кой вво­да и POST-зап­росом:

Сох­рани файл как shell2.php и про­тес­тируй http://localhost:8080/shell2.php. Теперь ты можешь ком­фор­тно отправ­лять любые коман­ды и не парить­ся по поводу того, что забыл где‑то испра­вить про­бел на %20.

Обход защиты

Плюс веб‑шел­ла в том, что он выпол­няет­ся в кон­тек­сте веб‑при­ложе­ния. Тебе не нуж­но соз­давать отдель­ный кон­нект, а зна­чит, отпа­дает необ­ходимость обхо­да фай­рво­ла. Но фай­рвол — это толь­ко один из спо­собов защиты.

В Docker наш про­ект пол­ностью открыт ата­кам. В реаль­ной жиз­ни на сер­вере может быть уста­нов­лен Web Application Firewall (WAF), нас­тро­енный на бло­киров­ку зап­росов, содер­жащих сис­темные коман­ды. В таких слу­чаях ата­кующе­му при­ходит­ся при­думы­вать спо­соб обфуска­ции (то есть скры­тия), который поз­волит обой­ти WAF. Пос­коль­ку тот чаще все­го работа­ет по опре­делен­ным пра­вилам, это впол­не воз­можно.