Sumber Github
Ini adalah bukti konsep software berbahaya yang berjalan di dalam ModSecurity WAF.
Perangkat lunak memiliki dua fungsi utama
- Mengambil konten file.
- Menjalankan perintah dan mengambil output (remote shell).
Selain itu, ini mencakup fungsi-fungsi ini:
- Pengaturan dinamis nama argumen kontrol POST untuk deteksi yang lebih sulit.
- Penonaktifan logging untuk deteksi yang lebih sulit (hanya untuk permintaan penyerang yang diidentifikasi dengan nama argumen POST).
- Semua aturan lainnya dinonaktifkan (hanya untuk permintaan penyerang yang diidentifikasi dengan nama argumen POST).
Prasyarat
- ModSecurity dikompilasi dengan dukungan Lua
- Lua
- Arahan ModSecurity SecStreamOutBodyInspection dan SecContentInjection diatur ke On
Instalasi
Dapatkan file backdoor.conf dan backdoor.lua lalu muat yang pertama ke server web.
Konfigurasi
Konfigurasi dapat dilakukan pada rule pertama di file backdoor.conf.
tx.backdoor_file_argument_name
Pengaturan ini dapat digunakan untuk menetapkan nama argumen POST yang digunakan untuk mengambil konten file. Setel ke sesuatu yang acak seperti koomem6Shmog.
tx.backdoor_command_argument_name
Pengaturan ini dapat digunakan untuk menetapkan nama argumen POST yang digunakan untuk menjalankan perintah. Setel ke sesuatu yang acak seperti tys4Olhuibves.
Penggunaan
Perintah dapat dijalankan di semua alamat (domain) di server target yang berada di belakang ModSecurity WAF. Keluaran dari perintah ditambahkan ke respons server standar.
Contoh penggunaan
Mengambil konten file:
curl -X POST -d "koomem6Shmog=/etc/passwd" "http://example.com/"
Menjalankan perintah dan mendapatkan output:
curl -X POST -d "tys4Olhuibves=/bin/ps aux" "http://example.com/"