WhiteWinterWolf's PHP web shell:解决传统webshell痛点的终极方案
【免费下载链接】wwwolf-php-webshellWhiteWinterWolf's PHP web shell项目地址: https://gitcode.com/gh_mirrors/ww/wwwolf-php-webshell
WhiteWinterWolf's PHP web shell是一款专注于解决传统webshell常见问题的轻量级工具,它遵循KISS原则,不追求成为全功能后渗透框架,而是提供稳定可靠的初始访问能力,让用户能够在此基础上灵活构建所需功能。
传统webshell的六大痛点
使用其他webshell时,用户经常遇到以下问题:
- 兼容性问题:使用新的PHP语法特性,与目标系统上运行的旧PHP版本不兼容
- URL处理不当:对远程URL做出错误假设,破坏PHP代码注入或服务器预期的GET参数
- 输出不完整:通常只显示标准输出内容,丢弃了stderr错误信息
- 特殊字符显示问题:对输出中的特殊字符(如
<)处理不佳 - 文件上传限制:不允许文件上传,或提供的方法不受目标系统设置支持/被阻止
- 系统适配繁琐:需要根据目标是类UNIX系统还是Windows系统进行手动修改
为什么选择WhiteWinterWolf's PHP web shell?
这款web shell通过精心设计,解决了上述传统工具的诸多痛点,主要特点包括:
跨平台兼容与安全保护
- 无需修改即可兼容类UNIX和Windows系统
- 支持密码保护功能,增强访问安全性
- 尝试清除PHP输出缓冲区并强制PHP代码执行终止,提供干净稳定的行为
智能URL处理与日志优化
- 表单以POST请求提交,保持与访问时完全相同的URL(包括相同的GET参数,不添加或删除任何内容),不做任何假设,适用于复杂的代码注入技术
- 远程服务器可能不会记录POST数据,因此可能不会记录在目标上执行的实际命令,提高隐蔽性
人性化默认设置
- 工作目录设置为实际当前工作目录,轻松判断远程系统类型(如
/var/www/html表示类UNIX系统,C:\Inetpub\wwwroot表示Windows系统) - 获取源主机设置为从目标服务器看到的IP地址,方便快速配置
灵活的文件上传方式
提供两种不同的文件上传方法,适应不同的目标环境:
- 传统上传表单:如果远程PHP设置允许
- 从指定主机和URL获取文件:实现了非常基本的HTTP获取功能,可规避PHP的
url_allow_fopen设置限制,支持通过前缀tls://处理SSL/TLS连接
便捷的命令执行体验
- 可自由设置工作目录,且该值在命令之间保持不变
- 当PHP的
open_basedir设置可能限制服务器浏览能力时,会显示特定警告消息 - 提供"Clear cmd"链接,可一键清除命令输入表单字段并设置焦点,依赖JavaScript实现,若要避免使用JavaScript,可删除这一行,不影响其他功能
快速开始使用
获取项目
要开始使用WhiteWinterWolf's PHP web shell,首先克隆仓库:
git clone https://gitcode.com/gh_mirrors/ww/wwwolf-php-webshell生成密码哈希
使用项目提供的passhash.sh脚本生成密码哈希,该脚本位于项目根目录:
./passhash.sh按照提示输入密码,脚本将生成更新webshell.php所需的$passprompt和$passhash值。
配置与使用
编辑webshell.php文件,更新密码提示和哈希值,然后将其部署到目标服务器。访问后,您可以:
- 设置工作目录
- 上传文件
- 执行命令
表单设置按以下顺序应用:首先是当前工作目录,然后是要上传的文件,最后是要执行的命令。这允许在单个HTTP请求中在指定目录上传文件并立即执行它。
注意事项
WhiteWinterWolf's PHP web shell仅用于安全研究和评估目的,请勿用于任何非法活动。更多信息可在项目相关文档中找到。
这款工具以其简洁的设计和实用的功能,为安全测试人员提供了一个可靠的webshell解决方案,有效解决了传统工具的诸多痛点,是渗透测试工作中的得力助手。
【免费下载链接】wwwolf-php-webshellWhiteWinterWolf's PHP web shell项目地址: https://gitcode.com/gh_mirrors/ww/wwwolf-php-webshell
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考