PhpSploit – 交互式shell后门控制工具

PhpSploit

Phpsploit 是一个远程控制框架，通过 HTTP 在客户机和 web 服务器之间提供隐蔽的交互式 shell 连接，能够为权限提升等目访问网络服务器。我们可理解为它是一款单webshell管理工具。

混淆通信是通过标准客户端请求下的 HTTP 头和 web 服务器的相对响应来完成的，通过一个一句话后门隧道:

PhpSploit安装

PhpSploit功能

• 高效: 超过20个插件可自动执行任务
  • 运行命令和浏览文件系统，绕过 PHP 安全限制
  • 在客户端和目标之间上传 / 下载文件
  • 通过本地文本编辑器编辑远程文件
  • 在目标系统上运行 SQL 控制台
  • 产生反向 TCP shell
• 隐形: 框架是由偏执狂为偏执狂而制造的
  • 通过日志分析和 NIDS 特征检测几乎不可见
  • 安全模式和通用模式绕过 PHP 安全限制
  • 通信隐藏在 HTTP header 中
  • 加载的有效载荷被模糊化为bypass NIDS 旁路 NIDS
  • http/https/socks4/socks5 Proxy support
• 方便: 一个具有许多关键特性的健壮的界面
  • 任何命令或选项的详细帮助(类型help)
  • 跨平台 在客户端和服务器上都有
  • 强大的界面与完成和多命令支持
  • 会话保存 / 加载特性 & 持久历史记录
  • 对大型有效负载(如上传)的多请求支持
  • 提供强大的、高度可配置的设置引擎
  • 每个设置，例如 user-agent 都有一个polymorphic mode 多态模式
  • 用于插件交互的可定制环境变量
  • 提供了一个完整的插件开发 API

点评

如果这个工具放在2017年左右相对来说比较有效，因为各家waf还相对较弱。以国内来说，WAF拦截学习力在不断提升，现在随着静态样式特征+动态AI学习的结合，普通的变体已经很难存活。最新的技术可看看动态二进制加密实现新型一句话木马/蚁剑AntSword。