Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。
常见的webshell编写语言为asp、jsp和php。本文将以php Webshell为示例,详细解释Webshell的常用函数、工作方式以及常用隐藏技术。
攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。 本文介绍十款常用的Webshell管理工具,以供你选择,你会选择哪一个?
1、中国菜刀(Chopper)
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!在非简体中文环境下使用,自动切换到英文界面。UNICODE方式编译,支持多国语言输入显示。
2、蚁剑(AntSword)
AntSword是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。 github项目地址:https://github.com/AntSwordProject/antSword
3、C刀(Cknife)
这是一款跨平台的基于配置文件的中国菜刀,把所有操作给予用户来定义。 github项目地址:https://github.com/Chora10/Cknife
4、冰蝎(Behinder)
冰蝎”是一款动态二进制加密网站管理客户端。 github地址:https://github.com/rebeyond/Behinder
5、Xise XISE WebShell管理工具。
6、Altman
Altman3是一款渗透测试软件,基于.Net4.0开发,依托Eto.Form可以完美运行在Windows、Linux、Mac等多个平台。 github项目地址:https://github.com/keepwn/Altman 
7、Weevely
Weevely是一种Python编写的webshell管理工具,跨平台,只支持PHP。 github项目地址:https://github.com/epinna/weevely3 用法示例:
weevely generate
同时,在Kali 2.0 版本下,集成了三款Web后门工具:WebaCoo、weevely、PHP Meterpreter。
8、QuasiBot
QuasiBot是一款php编写的webshell管理工具,可以对webshell进行远程批量管理。 github项目地址:https://github.com/Smaash/quasibot 
9、Webshell-Sniper 这是一款基于终端的webshell管理工具,仅支持在类Unix系统上运行。 github项目地址:https://github.com/WangYihang/Webshell-Sniper 用法示例:
Usage : python webshell-sniper.py [URL] [METHOD] [AUTH] Example : python webshell-sniper.py http://127.0.0.1/c.php POST c 
10、WebshellManager
一款用PHP+Mysql写的一句话WEB端管理工具,目前仅支持对PHP的一句话进行操作。 github项目地址:https://github.com/boy-hack/WebshellManager
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
