PHP后门生成工具weevely分析

在BT5里webshell有不少，大家可以自己看看，这里说的是Weevely这个shell，为什么说它呢？这个小东东有点意思，类似于我们常用的“菜刀”，可以说是linux命令版的菜刀了。
 
这里我用的是0.6版本的，BT5自带的是0.5吧，我看版本太低被我给K了，自己装个0.6，据说0.7也出了，多了个代理和端口扫描的功能。。这里不讨论。
 
生成服务端，./weevely.py generate 51cto /tmp/wp-user.php  这句就是生成一个密码是51cto，放在tmp文件夹里，名字是wp-user.php的文件，也就是服务端。注意： 密码必须大于等于4位，否则会提示出错。 这里你可以找到这个服务端看看里面的代码，是加密的。 weevely每次生成的服务端代码的是不一样的 。 这样可以大大逃避杀软的追杀。 服务端类似我们常用的一句话。也可以像一句话一样， 把服务端里面的代码插入其他正常的PHP文件里 ，也是可以的。

 

连接服务端，方法：./weevely.py  http://XX.XXX.XX.shell.php  密码
返回一个shell。
 
使用ls命令看一下，可以执行简单的命令。

 
得到shell后，按两下Tab键，看到了吧，这是 weevely强大的模块功能。

 
执行以下模块功能命令:systeminfo 呵呵一些系统信息。
注意：执行模块命令的时候必须前面有" : "这个冒号，也可以按Tab键。

模块功能：
系统                                
        system.info   //收集系统信息        
文件                                
        file.read        //读文件
        file.upload        //上传本地文件        
        file.check        //检查文件的权限和
        file.enum        //在本地词表的书面枚举远程文件
        file.download        //下载远程二进制/ ASCII文件到本地
SQL                                
        sql.query        //执行SQL查询
        sql.console        //启动SQL控制台
        sql.dump        //获取SQL数据库转储
        sql.summary        //获取SQL数据库中的表和列
后门                                
        backdoor.tcp                //TCP端口后门
        backdoor.install        //安装后门
        backdoor.reverse_tcp        //反弹
枚举                                
        audit.user_files        //在用户家中列举常见的机密文件
        audit.user_web_files        //列举常见的Web文件
        audit.etc_passwd        //枚举/etc/passwd
查找                                
        find.webdir        //查找可写的web目录
        find.perm        //查找权限可读/写/可执行文件和目录
        find.name        //按名称查找文件和目录
        find.suidsgid        //查找SUID / SGID文件和目录
暴破                                
        bruteforce.sql                //暴力破解单一SQL用户                
        bruteforce.sql_users        //暴力破解SQL密码
        bruteforce.ftp               // 暴力破解单一FTP用户        
        bruteforce.ftp_users        //暴力破解FTP密码

其他不全的等各位童鞋test后补全吧。
PS：等待某位大牛写过GUI版，就真的是linux下的菜刀了。
再PS：有人说现在webshell很多，为什么用这个，还是命令行的，太费事啊，我想无论什么东西都有它存在的道理，既然BT5集成了它，估计是在高级入侵时使用的。试想一下，如果你拿了个linux肉鸡，是不是装个后门，后门是不是都是命令控制的（给装VNC估计也有），linux肉鸡能用界面控制的很少，除非你不想活了，既然这样那这个webshell，就可以放在肉鸡上命令控制，来达到隐藏自己的作用。说的不对的地方多多包涵。。