weevely是一款php后门管理工具,使用http头进行指令传输,功能强大。不过只支持php。
weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。
weevely的使用很简单,首先我们生成一个名为weevely.php密码为 321的后门:
root@kali:~#weevely generate 321 /root/weevely.php
将后门上传到服务器之后运行
root@kali:~#weevely <url> <passwd>
就能连上了
但是我在连的时候发现一个问题。
解决方案如下:
1) Download last PySocks from python site https://pypi.python.org/pypi/PySocks/
2) Unzip archive into /tmp/ directory
3) Run "chmod 755 /tmp/PySocks/setup.py"
4) Run build "/tmp/PySocks/setup.py build"
5) Run install "/tmp/PySocks/setup.py install"
然后就可以连上了
