Tìm kiếm WebShell trong mã nguồn hay Null (bẻ khóa) ứng dụng bằng FileSeek

 FileSeek là gì? 

Tìm bên trong nội dung file bằng FileSeek

Thông thường, khi bạn tìm trên Windows, kết quả trả về là tên file nếu file tồn tại. Đối với file text, khi không xác định được file nào, bạn rất khó tìm nội dung bên trong. FileSeek sẽ giúp bạn làm việc đó.

FileSeek là một ứng dụng tìm kiếm bên trong nội dung file. Nó có thể tìm với nhiều định dạng file khác nhau nếu có chứa text. Việc tìm kiếm khá dễ dàng, thực hiện như sau:

– Path(s): Chọn đường dẫn thư mục cần tìm.
– Exclude Path(s): Loại trừ thư mục cần tìm bên trong Path(s).
– Include Files: Loại file cần tìm, để là *.*
– Exclude Files: Loại trừ loại file cần tìm, ví dụ *.pdf
– Query: Nội dung cần tìm, bỏ vào ngoặc kép nếu muốn tìm chính xác.

Mình xin giới thiệu với các bạn công cụ mang tên là FileSeek, công cụ này có cả phiên bản miễn phí và trả phí, nhưng theo đánh giá của mình thì phiên bản miễn phí là đủ dùng rồi . Các bạn có thể tải FileSeek tại địa chỉ:

Link nhà nhà phát triển: https://www.fileseek.ca/Compare/

Tải ở đây: https://www.binaryfortress.com/Data/Download/?Package=fileseek&Log=103

Bản miễn phí cho phép dùng thử chức năng Pro trong 30 ngày.




Sau khi cài đặt, các bạn mở FileSeek lên và nhập đường dẫn tới thư mục chứa mã nguồn cần tìm Shell ở ô Path(s), sau đó điền *.php vào ô Include Files có nghĩa là chúng ta chỉ tìm những tệp tin có đuôi là “php”. Về nguyên lý tìm kiếm của phương pháp này đó là chúng ta tìm kiếm dựa trên những hàm hoặc chuỗi thường gặp trong một con Shell. Danh sách những từ khóa mà các bạn có thể sử dụng để tìm:

  • eval(
  • base64_encode(
  • base64_decode(
  • gzinflate(base64_decode(
  • gzinflate(str_rot13(base64_decode(
  • str_rot13(gzinflate(base64_decode(
  • $_F=__FILE__;
  • readdir(
  • ini_get(‘disable_functions’)
  • ini_get(‘safe_mode’)

Trong danh sách trên thì 3 từ khóa cuối là từ khóa các bạn có thể gặp nhiều nhất vì 90% các con Shell đều cần lấy thông tin về Safe_Mode và danh sách Disable Functions. Những từ khóa đầu sẽ hữu ích nếu gặp những con Shell được mã hóa, theo mình thấy thì từ khóa “base64_decode” được bắt gặp ở đa số Shell. 

Còn về bẻ khóa các ứng dụng web. Bạn có thể thay từ khóa sell bằng link API kích kích hoạt. Ra kết quả bạn có thể sửa thay đổi và lập trình lại đoạn code kích hoạt này. 

Nếu cần ví dụ củ thể, bạn hãy để lại bình luận mình sẽ hướng dẫn nhé.

Cảm ơn đã đọc và theo dõi. Bài viết tổng hơp từ nhiều nguồn trên Internet

Comments

Popular posts from this blog

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Các chuyên gia phân tích các cuộc trò chuyện của các nhóm ransomware Conti và Hive với nạn nhân của chúng - Bảo mật