Webshell: What it is and how it works (2021) #websecurity #webshell #RCE

Ciberseguridad Comprensible

9 Jun 202109:49

Summary

TLDREn este video, se exploran los conceptos de shells web y conexiones reversas en servidores. Se explica qué es un shell, cómo interactuamos con el sistema operativo a través de una línea de comandos, y cómo un shell remoto permite ejecutar comandos en otro equipo. A través de ejemplos prácticos, se muestra cómo las vulnerabilidades en servidores web pueden ser explotadas para cargar archivos maliciosos, ejecutar comandos en el servidor y establecer conexiones reversas utilizando herramientas como Netcat. El video también destaca las diferencias entre un shell web y una conexión reversa.

Takeaways

😀 Un *shell* es una interfaz de línea de comandos que permite interactuar con un sistema operativo, como el CMD en Windows o el terminal en Linux.
😀 Un *shell remoto* permite ejecutar comandos en un sistema desde otro equipo, proporcionando acceso remoto a la máquina objetivo.
😀 Un *web shell* es un script que se ejecuta en un servidor web, permitiendo a un atacante ejecutar comandos en el sistema de ese servidor a través de una interfaz web.
😀 Las vulnerabilidades en servidores web pueden permitir la carga de archivos maliciosos, como scripts PHP, que actúan como web shells.
😀 Los *web shells* permiten ejecutar comandos del sistema, como listar archivos o mostrar el usuario actual, todo desde una interfaz web en el navegador.
😀 Una diferencia clave entre un *web shell* y un *reverse shell* es que el primero ejecuta comandos a través de la web, mientras que el segundo establece una conexión interactiva desde el servidor a la máquina del atacante.
😀 Los *reverse shells* permiten una sesión interactiva y continua entre la máquina del atacante y el servidor comprometido, facilitando el control total del sistema.
😀 *Netcat* es una herramienta utilizada en la creación de *reverse shells* para establecer conexiones entre la máquina del atacante y la víctima.
😀 Para establecer un *reverse shell*, el atacante configura su máquina para escuchar en un puerto específico, mientras que el servidor comprometido envía una conexión a esa IP y puerto.
😀 La diferencia principal entre un *web shell* y un *reverse shell* radica en la interactividad: los *reverse shells* ofrecen una experiencia más fluida y directa en la terminal.
😀 En el proceso de explotación, los atacantes pueden obtener acceso a directorios, ejecutar comandos y obtener información sensible del servidor al que han accedido, todo mediante un *reverse shell*.

Q & A

¿Qué es un shell y cómo se usa en un sistema operativo?
-Un shell es una interfaz de línea de comandos que permite a los usuarios interactuar con un sistema operativo. Se utiliza para ejecutar comandos directamente en el sistema, como los de Windows (cmd o PowerShell) o el terminal en Linux.
¿Cuál es la diferencia entre un shell local y un shell remoto?
-Un shell local se ejecuta directamente en el sistema en el que el usuario está trabajando, mientras que un shell remoto permite ejecutar comandos en un sistema diferente, generalmente a través de la red o Internet.
¿Qué es un web shell?
-Un web shell es un script malicioso cargado en un servidor web que permite ejecutar comandos de manera remota a través de la interfaz web del servidor, permitiendo a un atacante obtener acceso no autorizado al sistema.
¿Cómo se puede cargar un web shell en un servidor?
-Un atacante puede cargar un web shell explotando vulnerabilidades en el sistema de carga de archivos de un servidor web, como la falta de validación adecuada de los archivos que se suben, lo que permite ejecutar código malicioso como un script PHP.
¿Qué tipo de comandos se pueden ejecutar a través de un web shell?
-A través de un web shell, un atacante puede ejecutar comandos del sistema como 'ls' para listar archivos o 'whoami' para conocer el usuario que está ejecutando los comandos en el servidor.
¿Qué es una conexión reversa (reverse shell) y cómo funciona?
-Una reverse shell es un tipo de shell en la que el servidor o la máquina objetivo inicia la conexión de vuelta al atacante, en lugar de que el atacante se conecte directamente al servidor. Esto se logra configurando un puerto de escucha en el atacante y haciendo que el servidor se conecte a ese puerto.
¿Por qué es más efectiva una reverse shell que un web shell?
-Una reverse shell es más efectiva porque no depende de una interfaz web y permite un acceso completo y más estable al sistema. Además, facilita la ejecución de comandos en un terminal interactivo, lo que mejora la experiencia del atacante al ejecutar tareas de forma remota.
¿Qué herramienta se menciona en el video para crear una reverse shell?
-La herramienta mencionada en el video para crear una reverse shell es Netcat. Esta herramienta es útil para configurar un puerto de escucha en la máquina atacante y establecer una conexión con el servidor comprometido.
¿Cómo se utiliza Netcat para crear una reverse shell?
-Para crear una reverse shell con Netcat, el atacante configura un puerto de escucha en su máquina (por ejemplo, puerto 1234) y luego el servidor comprometido ejecuta un comando que le indica conectarse a la IP y puerto del atacante, estableciendo así la conexión reversa.
¿Qué limitaciones tiene un shell directo desde el navegador en comparación con una reverse shell?
-Un shell directo desde el navegador es más limitado porque cada comando debe ser enviado manualmente a través de la interfaz web, lo que es tedioso. En cambio, una reverse shell proporciona acceso directo al sistema con un terminal interactivo, lo que facilita la ejecución de comandos de manera más eficiente.