XenSploit - Генерация вредоносных плагинов для XenForo
@LeakinfoXenSploit — Эксплоит, генерирующий вредоносный плагин для форума на XenForo. Плагин генерируется c заданными данными, которые видит конечный администратор форума, далее ключ доступа к шеллу, который будет развернут на машине жертвы.
На данный момент большинство форумов сидят на XenForo, а недавно рожденные и подавно, поэтому с помощью СИ будет несложно подогнать кому нибудь такой зараженный плагин.
Потенциал у эксплоита очень большой, в том числе, что можно идти на массу форумов и написать сканер, который будет искать зараженные форумы по заданным параметрам.
Установка и генерация
Bash:
git clone https://github.com/securityhigh/XenSploit cd XenSploit python3 build.py
Первая часть это заполнение описания конечного вредоносного плагина.
Вторая это создание ключа доступа и путь, начиная со слэша (корня сайта), файла шелла.
В примере наш шелл будет лежать в https://example.com/index2.php, потом можно будет переместить, используя командную оболочку.
После заполнения данных мы получаем файл [JUM] Payment Providers.zip.
Далее идет дело за СИ и установку плагина на форум (можем сами, если доступ есть).
И вот собственно, как выглядит плагин у меня.
Затем нужно просто прописать команду для подключения, в моем случае https://site.in/index2.php
После ввода мы получаем практически полноценный терминал сервера, на котором стоит форум.
В качестве основы, как вы могли понимать был взят сторонний шелл.
Удаление не помогает, более того, если шелл был убран, а затем произвели удаление плагина, шелл будет загружен снова.
Путь до файла шелла можно изменить, копированием этого файла куда угодно, кроме каталогов /src/XF/*
Не палится шелл-сканерами.
Единственные способы защиты это ведение логирования на все действия, которые происходят на бекенде PHP ну и не быть мамонтом собственно говоря.
- 🦋 Слитая информация - @Leakinfo
- 🎭 Наша группа > - Точка входа
- ❤️ Поблагодарить Bitcoin