这篇文章笔者整理了目前所见到过的大部分Webshell网站管理工具,这里只对这些工具做了简单介绍,并没有写具体使用方式,大家如果有兴趣可以自己去看一下使用说明,同时也欢迎大家补充一些类似工具 。
目前国内安全人员常用的有:中国菜刀、中国蚁剑、冰蝎、哥斯拉、Metasploit、SharPyShell等,也有一些内部团队开发的类似工具,但是并没有对外公开 。
(1) 中国菜刀(Chopper)中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用 。只要支持动态脚本的网站都可用它来进行管理!在非简体中文环境下使用自动切换到英文界面 。UNICODE方式编译,支持多国语言输入 。已被各大安全厂商提取其特征 。
文章插图
(2) 中国蚁剑(AntSword)中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员 。任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!使用编/解码器进行流量混淆可绕过WAF,并且有多款实用插件 。
项目地址:
- https://github.com/AntSwordProject/antSword
文章插图
(3) 冰蝎(Behinder)冰蝎是一款基于JAVA开发的动态二进制加密通信流量的新型Webshell客户端,由于它的通信流量被加密,使用传统的WAF、IDS等设备难以检测,目前在HVV中使用较多的一款工具 。
项目地址:
- https://github.com/rebeyond/Behinder
文章插图
(4) 哥斯拉(Godzilla)哥斯拉是一款继冰蝎之后又一款于Java开发的加密通信流量的新型Webshell客户端,内置了3种有效载荷以及6种加密器,6种支持脚本后缀,20个内置插件,也是目前在HVV中使用较多的一款工具 。
项目地址:
- https://github.com/BeichenDream/Godzilla
文章插图
(5) Web版菜刀(w8ay)w8ay是Hacking8安全信息流站长早些年用php+MySQL写的一款半成品一句话WEB端管理工具,目前完成的功能有:文件管理、自定义命令、多用户系统注册登陆,且仅支持对PHP的一句话进行操作 。
项目地址:
- https://github.com/boy-hack/WebshellManager
文章插图
(6) Web版菜刀(WebKnife)WebKnife是陌小离练习ajax时候写的一款半成品Web版菜刀,目前完成的功能有:文件管理,虚拟终端,文件查看,图片查看,一键挂黑,作者居然还是个00后,tql!
【HW中用到的23个常见Webshell网站管理工具】项目地址:
- https://github.com/MoLeft/WebKnife
文章插图
(7) 一句话木马连接客户端ASP/PHP/JSP一句话木马连接客户端,在中国菜刀还没出来之前用的都是这个,不知还有多少人记得、默认为POST,在遇到一些特殊场景时也可以将其改为GET 。
推荐阅读
- 新一代开源免费的终端工具,太酷了
- 推荐3个超绝的PPT地图神器,第2个是真的牛X...
- moco框架的使用
- 软件测试中的可用性、可维护性、可靠性有什么区别?
- 企业做网络营销的12种方法
- |老板是个专情的人吗?
- 3大著名心理学效应,管理中你一定用得到
- 地线的作用,插座接不接地线的危害?你知道吗?
- 香辣猪蹄
- 松香熏猪手