Giriş
Merhaba forum üyeleri, bugün sizlere PHP shell indirme sitelerinin, shell adreslerinizi nasıl kaydedip logladıklarını ve bu süreçte güvenli bir şekilde nasıl shell indirebileceğinizi anlatacağım. Google üzerinde "php shell indir" araması ile ilk sayfa'da çıkan web sitelerini inceledim ve deneyimlerimi sizinle paylaşacağım.shellindir (.) net
Anlatımını YouTube videosun'da gösterdim.
Rich (BB code):
Log Adresi
https://sys.shellindir.net/write.php
Aldığı Parametre;
Parametre Adı: get
Parametre Tipi: GET
Örnek URL
https://sys.shellindir.net/write.php?get=https://example.comspamshell (.) xyz
Anlatımını YouTube videosun'da gösterdim.
Rich (BB code):
Log Adresi
https://spamshell.xyz/write.php
Aldığı Parametre;
Parametre Adı: get
Parametre Tipi: GET
Örnek URL
https://spamshell.xyz/write.php?get=https://example.comphpshellx (.) com
Anlatımını YouTube videosun'da gösterdim.
Rich (BB code):
Log Adresi
https://ik0.net/save.php
Aldığı Parametre(ler);
Parametre-1: url
Parametre-1 Tipi: GET
Parametre-2: id
Parametre-2 Tipi: GET
Örnek URL
https://ik0.net/save.php?url=https://example.com&id=1234567890shellindir (.) us
Evet artık anlatıma başlıyoruz. Bu web sitesi üzerinden bir shell indirdiğimde dikkatimi şu çekti; Sayfa çıktısın'da bir resim dosyasını javascript dosyası olarak çağırıyor.
Merak edip bu linke bir istek atıyorum ve çıktı olarak bunu görüyorum;
Evet her şey zaten ortada fazla bir şey söylemeye gerek yok fakat bu şahıslar bakalım nasıl programlama hataları yapmışlar bir göz gezdirelim. İlk olarak gözümüze çarpan .js uzantılı bir dosyası rewrite rules olarak adlandırılan kurallar ile .png uzantısı gibi göstermişler. Peki bu zeki arkadaşlar .js uzantılı URL'ye erişimi kapatmışlar mı? Tabi kide hayır
.js uzantılı dosyanın web arşiv linki: Web Arşiv Linki
Loglamasayfasında vakit geçirdiğimde ise 404 hatası gözüme çarpıyor.
Görüldüğü üzere, log sayfasına bir javascript kodunda ki gibi bir istek atınca 404 mesajı karşılıyor. Peki bu ne kadar doğru?
Bingo! Arkadaşlar http_response_code fonksiyonunu kullanmaya bile ihtiyaç duymamışlar ve sayfanın durum kodunu 200 olarak bırakmışlar.
Halbuki bu basit kod sayfanın daha inandırıcı olmasını sağlayabilirdi;
Fakat.. Bunu da yapsalar yine inandırıcı olmazdı, şayet istek parametrelerini sildiğimiz de ekrana farklı bir mesaj daha basıyor
İlgili sayfanın web arşiv kaydı: Web Arşiv Linki
Unutmadan belirteyim, shell çalıştırıldığı zaman wp-config isimli bir klasor oluşturuyor ve ss.php isimli bir dosya oluşturuyor. Bu ss.php'nin işlevi ise dosya yüklemek.
Evet artık anlatıma başlıyoruz. Bu web sitesi üzerinden bir shell indirdiğimde dikkatimi şu çekti; Sayfa çıktısın'da bir resim dosyasını javascript dosyası olarak çağırıyor.
Merak edip bu linke bir istek atıyorum ve çıktı olarak bunu görüyorum;
Evet her şey zaten ortada fazla bir şey söylemeye gerek yok fakat bu şahıslar bakalım nasıl programlama hataları yapmışlar bir göz gezdirelim. İlk olarak gözümüze çarpan .js uzantılı bir dosyası rewrite rules olarak adlandırılan kurallar ile .png uzantısı gibi göstermişler. Peki bu zeki arkadaşlar .js uzantılı URL'ye erişimi kapatmışlar mı? Tabi kide hayır
.js uzantılı dosyanın web arşiv linki: Web Arşiv Linki
Loglamasayfasında vakit geçirdiğimde ise 404 hatası gözüme çarpıyor.
Görüldüğü üzere, log sayfasına bir javascript kodunda ki gibi bir istek atınca 404 mesajı karşılıyor. Peki bu ne kadar doğru?
Bingo! Arkadaşlar http_response_code fonksiyonunu kullanmaya bile ihtiyaç duymamışlar ve sayfanın durum kodunu 200 olarak bırakmışlar.
Halbuki bu basit kod sayfanın daha inandırıcı olmasını sağlayabilirdi;
PHP:
<?php
http_response_code(404);
?>Fakat.. Bunu da yapsalar yine inandırıcı olmazdı, şayet istek parametrelerini sildiğimiz de ekrana farklı bir mesaj daha basıyor
İlgili sayfanın web arşiv kaydı: Web Arşiv Linki
Unutmadan belirteyim, shell çalıştırıldığı zaman wp-config isimli bir klasor oluşturuyor ve ss.php isimli bir dosya oluşturuyor. Bu ss.php'nin işlevi ise dosya yüklemek.
shellindir (.) org
Geldik en kötü web sitesine, bu web sitesi üzerinden kesinlikle shell indirmemenizi öneriyorum çünkü; Burada ki shell adreslerinizi sadece siz değil aynı zaman da web sitesinin farkedip kaldırmadığı diğer kötü amaçlı kişiler de logluyor.
Bu web sitesinin asıl kendi shell adresi şu an 404 dönüyor. Bir js dosyası çağırıyor fakat bu js dosyası herhangi bir get, post parametresi almıyor. Aynı zaman da istek başlıklarından da bir veri almıyor yani hiç bir veri almadan istek attığı .js uzantılı dosya bir işlev gerçekleştiremeyeceği için gerçekten de dosya yok.
Geldik en kötü web sitesine, bu web sitesi üzerinden kesinlikle shell indirmemenizi öneriyorum çünkü; Burada ki shell adreslerinizi sadece siz değil aynı zaman da web sitesinin farkedip kaldırmadığı diğer kötü amaçlı kişiler de logluyor.
Bu web sitesinin asıl kendi shell adresi şu an 404 dönüyor. Bir js dosyası çağırıyor fakat bu js dosyası herhangi bir get, post parametresi almıyor. Aynı zaman da istek başlıklarından da bir veri almıyor yani hiç bir veri almadan istek attığı .js uzantılı dosya bir işlev gerçekleştiremeyeceği için gerçekten de dosya yok.
Fakat bir kaç shell dosyası incelediğimde iki farklı log adresi buldum. Birisi shelli yayınlayan geliştiricinin kendi backorder adresi diğeri ise büyük ihtimalle shelleri kopyaladığı bir web sitesinin log adresi.
Rich (BB code):
Birinci Log Adresi
GitHub Sayfası: https://zerobyte-id.github.io/PHP-Backdoor/inc/footer.js
Log Adresi
https://zerobyte.id/
Parametre;
Parametre Adı: url
Parametre Tipi: GET
Örnek URL
http://zerobyte.id/?url=https://example.com
--------------------------------------------------
İkinci Log Adresi
JS Dosyası
https://hackingtool.net/logs/ciz.js
Log Adresi
https://www.hackingtool.net/logs/yaz.php
Parametre;
Parametre Adı: a
Parametre Tipi: GET
Örnek URL
https://www.hackingtool.net/logs/yaz.php?a=https://example.comİkinci Log Adresinin Web Arşiv Kaydı: Web Arşiv Kaydı
Ben sadece iki adet shellerini inceledim ve web sitesinin kendinden hariç iki arklı log adresi ile karşılaştım.
Güvenli Shell Nasıl Bulacağız?
Buna verilecek en basit cevap açık kaynak kodlu shell kullanmanız olacaktır. Benim bu web siteleri üzerinde incelediğim tüm sheller şifrelenmişti, hatta YouTube üzerinde gösterdiğim gibi yüzsüz gibi "güvenlik amacı" ile şifrelendiği yazıyordu. Fakat işler hiç göründüğü gibi çıkmadı. Yani kısacası güvenlikli bir shell deneyimi için ilk olarak açık kaynak kodlu shelleri tercih etmelisiniz. Fakat tabi ki de bu %100 güvenlik sağlayacak anlamına gelmez. İndirdiğiniz shelli güvenli bir ortamda kendiniz test edip sunucunuz da ne gibi değişiklikler oluyor, bu değişiklikler bilginiz dışında mı, bunları kontrol etmeniz olacaktır. Benim nacizane tavsiyem indireceğiniz shellin GitHub sayfasını bulun ve oradan indirin, ana yayıncısından.
Buna verilecek en basit cevap açık kaynak kodlu shell kullanmanız olacaktır. Benim bu web siteleri üzerinde incelediğim tüm sheller şifrelenmişti, hatta YouTube üzerinde gösterdiğim gibi yüzsüz gibi "güvenlik amacı" ile şifrelendiği yazıyordu. Fakat işler hiç göründüğü gibi çıkmadı. Yani kısacası güvenlikli bir shell deneyimi için ilk olarak açık kaynak kodlu shelleri tercih etmelisiniz. Fakat tabi ki de bu %100 güvenlik sağlayacak anlamına gelmez. İndirdiğiniz shelli güvenli bir ortamda kendiniz test edip sunucunuz da ne gibi değişiklikler oluyor, bu değişiklikler bilginiz dışında mı, bunları kontrol etmeniz olacaktır. Benim nacizane tavsiyem indireceğiniz shellin GitHub sayfasını bulun ve oradan indirin, ana yayıncısından.
Böyle Konularda Sadece Kendi Deneyiminize Güvenin
Bu shell sitelerinin referanslarına baktığımda sözde güvenilir ve objektif haber yapan haber siteleri tarafından referans gösterildiğini gördüm. Pastadan payını alan kullanıcı gizliliğinden vazgeçiyor, bu yüzden kendi gözleminiz ve deneyiminiz olmadan hiç bir kaynağa direkt güvenmeyin.
Mesela bu haberde iki adet loglayan web sitesinin adı geçmiş fakat birisini iyi birisini kötü göstermiş fakat ikisinin de birbirinden bir farkı yok
Haberin Web Arşiv Linki: Web Arşiv Link
Başka bir shell sitesinin reklamını tekrar yapmışlar bunu da farklı bir kaynağın aldığı rastgele bir arşiv kaydından görebiliyoruz.
Fotoğrafın Web Arşiv Kaydı: Web Arşiv Link
Bu shell sitelerinin referanslarına baktığımda sözde güvenilir ve objektif haber yapan haber siteleri tarafından referans gösterildiğini gördüm. Pastadan payını alan kullanıcı gizliliğinden vazgeçiyor, bu yüzden kendi gözleminiz ve deneyiminiz olmadan hiç bir kaynağa direkt güvenmeyin.
Mesela bu haberde iki adet loglayan web sitesinin adı geçmiş fakat birisini iyi birisini kötü göstermiş fakat ikisinin de birbirinden bir farkı yok
Haberin Web Arşiv Linki: Web Arşiv Link
Başka bir shell sitesinin reklamını tekrar yapmışlar bunu da farklı bir kaynağın aldığı rastgele bir arşiv kaydından görebiliyoruz.
Fotoğrafın Web Arşiv Kaydı: Web Arşiv Link
Kapanış
Buraya kadar okuyan herkese teşekkürlerimi iletiyorum. Bu forumda ki ilk konum, insanların bilinçlenmesi ve güvenli bir shell deneyimi yaşaması için bilgilendirici ve piyasa da ki çürük elmaların kasadan elenmesinı amaçlayan bir konuydu. Tekrar görüşmek üzere hoşça kalın, iyi forumlar.
Buraya kadar okuyan herkese teşekkürlerimi iletiyorum. Bu forumda ki ilk konum, insanların bilinçlenmesi ve güvenli bir shell deneyimi yaşaması için bilgilendirici ve piyasa da ki çürük elmaların kasadan elenmesinı amaçlayan bir konuydu. Tekrar görüşmek üzere hoşça kalın, iyi forumlar.
