滲透利器 | 常見的WebShell管理工具

攻擊者在入侵網站時，通常要通過各種方式寫入Webshell，從而獲得服務器的控制權限，然後再執行系統命令、權限提升、讀取配置文件、竊取用戶數據，篡改網站頁面等操作。

本文介紹十款常用的Webshell管理工具，供你選擇，你會選擇哪一個？

1、中國菜刀(Chopper)

中國菜刀是一款專業的網站管理軟件，用途廣泛，使用方便，小巧實用。只要支持動態腳本的網站，都可以用中國菜刀來進行管理！在非簡體中文環境下使用，自動切換到英文界面。UNICODE方式編譯，支持多國語言輸入顯示。

2、蟻劍(AntSword)

AntSword是一個開放源代碼，跨平台的網站管理工具，旨在滿足滲透測試人員以及具有權限和/或授權的安全研究人員以及網站管理員的需求。

github項目地址：

https://github.com/AntSwordProject/antSword

3、C刀(Cknife)

這是一款跨平台的基於配置文件的中國菜刀，把所有操作給予用戶來定義。

github項目地址：

https://github.com/Chora10/Cknife

4、冰蠍(Behinder)

冰蠍」是一款動態二進制加密網站管理客戶端。

github項目地址：

https://github.com/rebeyond/Behinder

5、Xise

XISE WebShell管理工具。

6、Altman

Altman3是一款滲透測試軟件，基於.Net4.0開發，依託Eto.Form可以完美運行在Windows、Linux、Mac等多個平台。

github項目地址：

https://github.com/keepwn/Altman

7、Weevely

Weevely是一種Python編寫的webshell管理工具，跨平台，只支持PHP。

github項目地址：

https://github.com/epinna/weevely3

用法示例：

weevely generate <password> <path>  weevely <URL> <password> [cmd]

同時，在Kali 2.0 版本下，集成了三款Web後門工具：WebaCoo、weevely、PHP Meterpreter。

8、QuasiBot

QuasiBot是一款php編寫的webshell管理工具，可以對webshell進行遠程批量管理。

github項目地址：

https://github.com/Smaash/quasibot

9、Webshell-Sniper

這是一款基於終端的webshell管理工具，僅支持在類Unix系統上運行。

github項目地址：

https://github.com/WangYihang/Webshell-Sniper

用法示例：

Usage :          python webshell-sniper.py [URL] [METHOD] [AUTH]  Example :          python webshell-sniper.py http://127.0.0.1/c.php POST c

10、WebshellManager

一款用PHP+Mysql寫的一句話WEB端管理工具，目前僅支持對PHP的一句話進行操作。

github項目地址：

https://github.com/boy-hack/WebshellManager

我在知識星球發起了一個小討論，也收集到了一些webshell管理工具，如 hatchet、K8飛刀、lanker，歡迎補充。