PHP后门生成工具weevely分析

在BT5里webshell有不少,大家可以自己看看,这里说的是Weevely这个shell,为什么说它呢?这个小东东有点意思,类似于我们常用的“菜刀”,可以说是linux命令版的菜刀了。
 
这里我用的是0.6版本的,BT5自带的是0.5吧,我看版本太低被我给K了,自己装个0.6,据说0.7也出了,多了个代理和端口扫描的功能。。这里不讨论。
 
生成服务端,./weevely.py generate 51cto /tmp/wp-user.php  这句就是生成一个密码是51cto,放在tmp文件夹里,名字是wp-user.php的文件,也就是服务端。注意: 密码必须大于等于4位,否则会提示出错。 这里你可以找到这个服务端看看里面的代码,是加密的。 weevely每次生成的服务端代码的是不一样的 这样可以大大逃避杀软的追杀。 服务端类似我们常用的一句话。也可以像一句话一样, 把服务端里面的代码插入其他正常的PHP文件里 ,也是可以的。

 

连接服务端,方法:./weevely.py  http://XX.XXX.XX.shell.php  密码
返回一个shell。
 
使用ls命令看一下,可以执行简单的命令。

 
得到shell后,按两下Tab键,看到了吧,这是 weevely强大的模块功能。

 
执行以下模块功能命令:systeminfo 呵呵一些系统信息。
注意:执行模块命令的时候必须前面有" : "这个冒号,也可以按Tab键。

模块功能:
系统                                
        system.info   //收集系统信息        
文件                                
        file.read        //读文件
        file.upload        //上传本地文件        
        file.check        //检查文件的权限和
        file.enum        //在本地词表的书面枚举远程文件
        file.download        //下载远程二进制/ ASCII文件到本地
SQL                                
        sql.query        //执行SQL查询
        sql.console        //启动SQL控制台
        sql.dump        //获取SQL数据库转储
        sql.summary        //获取SQL数据库中的表和列
后门                                
        backdoor.tcp                //TCP端口后门
        backdoor.install        //安装后门
        backdoor.reverse_tcp        //反弹
枚举                                
        audit.user_files        //在用户家中列举常见的机密文件
        audit.user_web_files        //列举常见的Web文件
        audit.etc_passwd        //枚举/etc/passwd
查找                                
        find.webdir        //查找可写的web目录
        find.perm        //查找权限可读/写/可执行文件和目录
        find.name        //按名称查找文件和目录
        find.suidsgid        //查找SUID / SGID文件和目录
暴破                                
        bruteforce.sql                //暴力破解单一SQL用户                
        bruteforce.sql_users        //暴力破解SQL密码
        bruteforce.ftp               // 暴力破解单一FTP用户        
        bruteforce.ftp_users        //暴力破解FTP密码

其他不全的等各位童鞋test后补全吧。
PS:等待某位大牛写过GUI版,就真的是linux下的菜刀了。
再PS:有人说现在webshell很多,为什么用这个,还是命令行的,太费事啊,我想无论什么东西都有它存在的道理,既然BT5集成了它,估计是在高级入侵时使用的。试想一下,如果你拿了个linux肉鸡,是不是装个后门,后门是不是都是命令控制的(给装VNC估计也有),linux肉鸡能用界面控制的很少,除非你不想活了,既然这样那这个webshell,就可以放在肉鸡上命令控制,来达到隐藏自己的作用。说的不对的地方多多包涵。。

你可能感兴趣的:(工具说明书)