正文

游魂-新版Webshell管理工具-支持PHP一句话webshell和冰蝎PHP webshell|渗透工具

admin
admin V管理员 /0 评论 /268 阅读
1010
此篇文章发布距今已超过103天,您需要注意文章的内容或图片是否可用!

0x01 工具介绍

游魂是一个开源Webshell管理器,支持PHP一句话冰蝎webshell,提供流量加密、防重放、TCP正向代理、异步上传下载等功能。它通过集成蚁剑和冰蝎,兼具蚁剑插件的生态优势和冰蝎的流量隐蔽特性。游魂基于B/S架构,支持自定义主题、HTTP参数混淆、RSA+AES加密,确保安全性并降低本地感染风险。其特点包括导入多种Webshell、对接蚁剑操作等,旨在提供更为便捷的渗透测试管理体验。

下载地址在末尾

0x02 功能简介

特点

  • 同时支持PHP一句话webshell和冰蝎PHP webshell

  • 流量防重放和流量强加密

  • TCP正向代理

  • 异步上传下载文件

  • chunked transfer encoding分块发包

  • 对接蚁剑

  • 默认使用随机User Agent

  • HTTP填充垃圾数据

  • 自定义encoder和decoder

  • 支持导入部分蚁剑encoder和decoder

  • 自定义主题和背景图片(?)

  • 。。。。。。

当前功能

支持的webshell

    • PHP一句话

    • 冰蝎PHP

  • webshell操作

    • 异步文件上传下载

    • 支持伪终端和普通的命令执行

    • 命令执行

    • 文件管理

    • PHP代码执行

    • TCP正向代理

    • 查看基本信息

    • 下载phpinfo

  • webshell编码

    • HTTP参数混淆

    • 蚁剑类encoder和decoder

    • session暂存payload

    • 防流量重放

    • RSA+AES加密

为什么不用蚁剑?

我自从学习渗透开始就一直在用蚁剑,蚁剑是一个非常优秀的webshell管理器,但是在我想要二开蚁剑的时候才发现蚁剑的架构存在一些问题,无法实现我想要的功能。具体来说:

  • 蚁剑基于早已过时的Electron 4,其Chromium内核存在多个安全漏洞,存在被反制的风险。同时Electron 4的开发环境难以配置,给二开带来困难。

  • 蚁剑的PHP webshell不支持GET参数传参,在CTF环境下较为不便

    • 这里虽然可以在GET参数下指定eval另一个POST参数,但是有这时间填参数为什么不去直接拿flag?

  • 蚁剑使用的Electron导致XSS漏洞极易被提升为RCE漏洞,导致攻击机被反制

  • 蚁剑的encoder需要经过复杂配置之后才可支持AES和RSA加密

  • 虽然蚁剑可以使用php_raw配合encoder连接冰蝎webshell,但蚁剑的插件生态仅支持php类型的webshell,无法在冰蝎webshell上使用各类插件

蚁剑的encoder生态和插件生态还是很丰富的,encoder可以通过让python调用nodejs直接使用,插件移植难度比较大,可以让游魂假装是一个webshell,接受蚁剑传来的代码就可以解决。

TODO

  • 对接蚁剑、冰蝎、哥斯拉

    • [done] 导入冰蝎webshell

    • 从哥斯拉的本地数据库导入哥斯拉webshell

    • 从蚁剑的本地目录导入蚁剑webshell

    • 从冰蝎的本地目录导入冰蝎webshell

    • [done] 以webshell形式对接蚁剑

  • [done] 下载phpinfo

  • [done] 显示机器信息

  • i18n

  • 改进文件管理的文件夹管理功能

  • [done] 真正的正向代理和反向代理

    • PHP貌似很难支持绑定本地端口

  • 支持冰蝎4.1的自定义类型webshell

  • 批量测试webshell是否存活

  • 数据库连接功能

  • [done] pyinstaller打包,给windows用户提供一个绿色的exe

  • 写安装使用的文档,然后把文档分割为多个文件,存到docs/里

  • 让用户决定是否将AES密钥在session中持久化

关于流量强加密功能

流量强加密功能一开始是为了AWD设计的,主要目标是防止流量重放,以及防止流量分析分析出实际执行的操作。打开流量强加密之后流量分析端理论上能分析出webshell的存在,而不能分析出具体执行的命令或代码。

当然流量强加密是存在一些问题的。当前的流量加解密和整个握手功能都需要在目标上执行代码,这个过程对中间人来说是完全透明的。虽然中间人不知道具体执行的代码,但是可以分析出握手时传递的代码,从而查杀webshell.

当然这个功能是可以改进的。只要把握手过程藏到webshell源码里,像冰蝎一样先解密再运行就好了。但是这样的话就需要改进传统一句话木马,也许需要推出游魂特定的webshell.

目前除了常规功能更新还有增加流量混淆webshell的计划,计划是将webshell流量伪装成图片上传等流量,可以随着上述功能添加。

0x03更新说明

暂无

0x04 使用介绍

Windows

下载绿色exe即可

Linux - 使用pip+venv

安装并打开:

cd EtherGhostpython -m venv .venv. .venv/bin/activatepip install -r requirements.txtpython -m ether_ghost

使用:

cd EtherGhost. .venv/bin/activatepython -m ether_ghostLinux - 使用poetry

安装并打开:

cd EtherGhostpoetry installpoetry shellpython -m ether_ghost

使用:

cd EtherGhostpoetry shellpython -m ether_ghost

0x05 


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com