Weevely(php菜刀)工具使用简介

最新推荐文章于 2024-09-25 15:00:53 发布
原创 最新推荐文章于 2024-09-25 15:00:53 发布 · 2.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍了Weevely这款Python编写的Webshell工具,它可以在Linux下作为PHP菜刀的替代品。文章详细讲解了如何生成PHP、图片及.htaccess后门,以及如何连接和执行命令,包括系统信息获取、文件操作和命令执行等。Weevely适用于Linux环境,部分功能在Windows上不可用。
Weevely工具使用记录
-前言
weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一款工具。
项目地址:https://github.com/epinna/Weevely

下面就针对该工具里的功能,做一个较为详细的使用测试记录(本文没有什么技术含量,旨在经验交流,我也是个菜,大家就不要乱喷了)。

-后门生成&连接
测试系统:kali linux 1.0.8 amd64
环境:kali linux 自带apache+php+mysql环境
工具版本:weevely v1.1

下面分块来对参数或命令进行说明

后门生成(参数)
:generate.php(生成php后门文件)
:generate.img(将后门代码插入到图片中,并修改.htaccess,该后门需要服务器开启.htaccess)
:generate.htaccess(将后门代码插入到.htaccess,同样需要开启.htaccess支持)

-generate/generate.php
-weevely generate <password> [<path>]
-在指定路径下生成所设置密码的php后门文件(密码最小长度为4),然后将后门文件传至目标站点即可



-generate.img
-weevel generate.img <password> <img> [<floder_path>]
-在指定路径下生成插入后门代码后的图片文件以及使该后门可用的.htaccess配置文件,使用该图片后门需要目标服务器开启.htaccess,因为该后门依赖于在.htaccess中使web服务器对图片文件进行php解析(AddType application/x-httpd-php .jpg|.png|…)


-generate.htaccess
-weevely generate.htaccess <password> [<path>]
-在指定路径下生成.htaccess后门文件,该后门需要使用同样需要服务器开启.htaccess。生成的.htaccess里包含了php后门语句,同时使用相关配置使得web服务器对该文件进行php解析


后门连接(依次将上面生成的3种后门传至本地服务器根目录进行测试)    ​
-weevel <url>
最低0.47元/天 解锁文章
WebShell连接工具(中国菜刀、WeBaCoo、Weevely)使用
悦分享
07-31 4154
第三步此时会弹出一个添加shell的对话框,由图一看出我的“dxr.php”上传在站点根目录,所以这里的地址填为http//localhost/dxr.php。最后把这个文件保存,上传到你站点里面,可以是根目录,也可以是其他,都行的。这些网页脚本常称为WEB脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。最后点击“添加”按钮,成功后就会产生一条新的记录,鼠标右键点击就可以进行操作了,如下图,可以进行文件管理,数据库管理,虚拟终端。哈哈...大功告成!...
网络安全——Webshell管理工具
weixin_54055099的博客
08-21 5271
Webshell的应用,中国菜刀、蚁剑、weevely、御剑、Havij的使用
使用Weevely工具上传一句话木马
weixin_66469999的博客
10-24 1087
使用命令weevely generate hello /root/hello.php(hello为密码,/root/hello.php为输出路径)来生成weevely一句话木马。使用命令weevely http://172.16.1.113/hackable/uploads/hello.php hello连接weevely木马。在/root目录下生成一个shell.php文件,文件内容为<?使用:file_upload /root/hello.php backdoor.php上传本地文件到目标服务器上。
中国菜刀下载及基础使用教程
01-26 2万+
2011,2014,2016版下载及基础操作
weevely工具使用
淡巴枯的博客
05-23 7489
weevely工具使用 目录一. 关于weevely二. 安装weevely三. 使用weevely四. weevely实战五. 常用模块六. weevely工作原理 声明:本文禁止转载。 仅作网络安全学习交流,切勿用于任何非法用途,否则后果自负。 一. 关于weevely   weevely是一款基于python编写的webshell管理工具,其优点是跨平台,隐蔽性不错,参数随机生成并加密。但缺点是只支持php。   我们可以在普通的一句话木马上传无效的情况下,使用weevley工具生成的一
PHP菜刀工具WebHandler
11-16 155
PHP菜刀工具WebHandler 在Web渗透测试中,后台代码如果包含系统命令执行功能,并以用户提交的数据作为参数,就带来潜在的安全隐患。Kali Linux提供一款PHP菜单工具WebHand...
msf生成php木马,11.7 Weevely3生成网页木马、Backcookie后门生成工具使用msf生成木马、一句话变形技巧和使用...
weixin_36005427的博客
03-27 2099
大马:代码量大,体积大,可以和一句话木马配合使用(先传一句话后传大马),一般同意被发现,可变形或伪装(编码、远程接入),主要功能:文件管理、,命令执行、数据库管理、清理木马、屑木马、收集信息、提权等。Webshell管理工具的介绍和使用:Webshell工具主要和一句话配合使用中国菜刀、中国蚁剑等Weevely3生成网页木马(基于python)python weevely.py -h python...
kali下的webshell工具-Weevely
@小张小张的博客
09-29 4327
kali下的webshell工具-Weevely weevely是适用于php网站的webshell工具,使用weevely生成的木马免杀能力较强,而且使用加密连接,往往能轻松突破WAF拦截。 Weevely工具使用Python语言编写,集生成木马与连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,支持图片与.htaccess两种绕过方式。生成的木马文件进行了base64加密处理。它实现了SSH 风格的终端界面,并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透;
Weevely使用及源码分析(一)
fly小灰灰的专栏
01-30 2689
1. 简介 1.1 前言    weevely 是一款使用python编写的webshell工具(集webshell生成和连接于一身),采用C/S模式构建,可以算作是linux下的一款菜刀替代工具(限于PHP),具有很好的隐蔽性,在Linux下具有: 服务器配置审计 后门放置 暴力破解 文件管理 资源搜索 网络代理 命令执行 系统信息收集 端口扫描等功能 1.2 测试环境
weevely使用小结
weixin_52268949的博客
01-27 603
Weevely 写在前面 由于比赛不确定会不会提供菜刀或者蚁剑,这里我稍微对weevely进行简单介绍一下,具体还是请看官方文档,官方文档讲的很详细(前提你英语嘚不错) 官方文档:https://github.com/epinna/weevely3/wiki/Getting-Started 一般几个步骤就如下 1、在终端输入weevely查看基本使用方法 2、generate一个后门代理(backdoor agent) weevely会给你自动生成,不用自己写。我这里是默认存在/root/agent.ph
IVBD『PHP菜刀html版开源』
11-11
IVBD工作室搜集网上资源及收费软件,授权于麒麟安全组旗下
weevely详细使用教程
热门推荐
星落的博客
05-12 2万+
weevely简介 weevely常用命令 weevely主页面 实例演示 到此就完成了weevely的介绍,如果想了解更多的Kali工具,请关注我!
weevely基本使用
BeatRex的博客
11-22 9028
一、weevely使用 weevely的功能同之前学习过的中国菜刀,但其功能更加丰富且在linux和windows下都可以运行。kali linux环境下已集成weevely。分weevely生成shell文件、weevely连接后台、weevely信息探测、weevely文件操作、weevely审计这几块来学习。 以生成一个名为weevelyshell的shell并上传连接的案例进行学习。 首先...
Weevely工具使用详解 (Linux菜刀
weixin_45116657的博客
04-10 3807
一、下载与安装 下载地址:https://github.com/epinna/weevely3 下载之后解压,使用里面的weevely.py 在kali中国 ...
菜刀php教程,中国菜刀(chopper)功能介绍及使用教程
weixin_34774527的博客
03-09 6622
中国菜刀(下载地址:)是一个非常好用而又强大的webshell,它可不是用来切菜的做饭的道具哦,是一款专业的网站管理软件,大小只有300多KB,真是小巧实用啊!不过被不法分子利用到,就是一个黑站的利器了。我记得以前接触的时候摸索了好久才会用,哈哈。。后来领悟之后才发现并不难操作,同时功能也比我想象的要强大。注:单独的菜刀没有效果,需要服务器端有一句话后门,或漏洞,例如这样的:89/mingfang...
KALI 菜刀weevely基本操作和使用
cuisidong1997的博客
09-25 523
KALI 菜刀weevely基本操作和使用(超级详细图解)
使用过程】weevely生成、上传、连接、执行…你一定行
03-31 8728
weevely傻子都会
菜刀php木马_Weevelyphp菜刀工具使用详解
weixin_36205101的博客
03-09 1280
-前言weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身,仅用于安全学习教学之用,禁止非法用途),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一款工具。项目地址:https://github.com/epinna/Weevely下面就针对该工具...
weevely使用教程
xiongIT的博客
10-30 696
weevely 是一款基于 python 编写的 webshell 生成、管理工具
菜刀工具连接后下载flag.php文件
最新发布
07-20
使用菜刀工具连接到目标主机后,下载 `flag.php` 文件需要遵循一系列步骤。在操作之前,请确保已经获取了目标主机的合法授权,并且所有行为都在合法范围内进行。 ### 下载 flag.php 文件 在成功利用一句话木马连接到目标主机后,可以使用菜刀工具的文件管理功能来下载 `flag.php` 文件。具体操作如下: 1. **连接目标主机** 打开菜刀工具,添加一个新的连接,填写目标主机的 URL,例如: ``` http://192.168.67.143/sqli/Less-7/2.php ``` 连接密码通常是一句话木马的密码,例如常见的 `pass` 或者 `eval`。 2. **浏览目标主机文件系统** 连接成功后,可以在菜刀工具的文件管理界面中查看目标主机的文件系统。导航到 `flag.php` 所在的目录。 3. **下载 flag.php 文件** 在文件管理界面中,找到 `flag.php` 文件,右键选择“下载”选项。菜刀工具会将该文件从目标主机下载到本地计算机。 4. **查看 flag.php 文件内容** 下载完成后,可以在本地计算机上使用文本编辑器或浏览器打开 `flag.php` 文件,查看其中的内容。 ### 示例代码:下载 flag.php 的简单脚本 如果希望通过脚本方式下载 `flag.php` 文件,可以使用以下 Python 脚本示例: ```python import requests # 目标URL url = "http://192.168.67.143/sqli/Less-7/flag.php" # 发送GET请求 response = requests.get(url) # 检查响应状态码 if response.status_code == 200: # 将内容写入本地文件 with open("flag.php", "wb") as file: file.write(response.content) print("flag.php 文件下载成功") else: print(f"无法下载文件,状态码: {response.status_code}") ``` ### 注意事项 - **权限问题**:确保目标主机上的 `flag.php` 文件具有可读权限。如果遇到权限问题,可能需要提升权限后才能访问该文件[^5]。 - **服务器配置**:某些服务器可能对文件访问进行了限制,例如 `.php` 文件的直接访问可能被禁止。在这种情况下,可能需要通过一句话木马读取文件内容后再进行下载。 - **安全检测**:菜刀工具可能会被某些安全软件识别为恶意工具使用时需谨慎,确保在合法授权范围内操作。 ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值