(1) 中国菜刀(Chopper) 只要支持动态脚本的网站都可用它来进行管理,UNICODE办法编译,支持多国措辞输入。已被各大安全厂商提取其特色。
(2) 中国蚁剑(AntSword)中国蚁剑是一款开源的跨平台网站管理工具,利用编/解码器进行流量稠浊可绕过WAF,并且有多款实用插件。项目地址:https://github.com/AntSwordProject/antSword
(3) 冰蝎(Behinder)基于Java开拓的动态二进制加密通信流量的新型Webshell客户端,通信流量被加密,利用传统的WAF、IDS等设备难以检测,在HVV中利用较多。
项目地址:https://github.com/rebeyond/Behinder
(4) 哥斯拉(Godzilla)Java开拓的加密通信流量的新型Webshell客户端,内置了3种有效载荷以及6种加密器,6种支持脚本后缀,20个内置插件,在HVV中利用较多。
项目地址:https://github.com/BeichenDream/Godzilla
(5) Web版菜刀(w8ay) w8ay是Hacking8安全信息流站长早些年用PHP+MySQL写的一款半成品一句话WEB端管理工具,目前完成的功能有:文件管理、自定义命令、多用户系统注册上岸,且仅支持对PHP的一句话进行操作。项目地址:https://github.com/boy-hack/WebshellManager
(6) Web版菜刀(WebKnife)WebKnife是陌小离练习ajax时候写的一款半成品Web版菜刀,功能有:文件管理,虚拟终端,文件查看,图片查看,一键挂黑,作者是个00后,tql!
项目地址:https://github.com/MoLeft/WebKnife
(7) 一句话木马连接客户端 ASP/PHP/JSP一句话木马连接客户端,在中国菜刀还没出来之前用的都是这个、默认为POST,在碰着一些分外场景时也可以将其改为GET。
(8) XISE XISE是小骏用易措辞开拓的一款类似于中国菜刀的Webshell网站管理工具,早些年做黑帽SEO的基本人手一份,现在已经停滞更新。
(9) 开山斧 一款基于Python 2.7X + QT4开拓的一款跨平台菜刀 (Win/Linux/Mac),体积比较大,也已经停滞更新了。项目地址:GitHub - pyqteval/evlal_win
(10) K8飞刀 是K8哥哥开拓的一款Webshell网站管理工具,不得不说他开拓的安全工具都很强大且实用。项目地址:https://github.com/k8gege/K8tools
(11) Altman 基于.Net4.0开拓,全体程序采取mef插件架构。功能有:Shell管理、命令实行、文件管理、数据库管理、编码器等,脚本类型支持asp、aspx、php、jsp、python。 项目地址:https://github.com/keepwn/Altman
(12) Hatchet 基于C++开拓,是继中国菜刀后比较早放出来的一款Webshell网站管理工具,目前完成的功能有:文件管理、命令实行、数据库管理以及注册表读取等等,而且能够自定义部分POST数据,还支持同时剪切、删除和下载多个文件/文件夹。项目地址:https://github.com/euphrat1ca/hatchet
(13) 小李飞刀 基于C#开拓,一个还没开始就已经结束了的项目,只实现了大略的Webshell连接和文件管理功能,忘了当时是在哪找到的这套源码了,详细作者不详!
(14) AspxClient 是一款基于反射的.NET一句话木马连接客户端,仅支持ASPX脚本,算是比较老的一个工具了,在高版本IIS中连接时可能会涌现一些问题。
(15) C刀(Cknife) 是一款基于Java开拓的完备基于配置文件的中国菜刀,脚本类型支持ASP、ASPX、PHP、JSP、JSPX、Customize,目前完成的功能有:文件管理、数据库管理、仿照终端以及代理设置等。项目地址:https://github.com/Chora10/Cknife
(16) QuasiBot 一款php编写的webshell管理工具,可以对webshell进行远程批量管理。这个工具超越于普通的webshell管理是由于其还拥有安全扫描、漏洞利用测试等功能,可以帮助渗透测试职员进行高效的测试事情。 项目地址:https://github.com/Smaash/quasibot
(17) Weevely 一款python编写的天生和管理php webshell的安全测试工具,目前拥有30多个模块:文件管理、命令实行、数据库管理、端口扫描等功能,部分模块不支持在Windows环境下利用。 项目地址:https://github.com/epinna/weevely3
(18) WeBaCoo 一款Perl措辞编写的Web后门工具,它的特殊之处在于Web做事器和客户端之间的通信载体是Cookie,这就意味着多数的杀毒软件、网络入侵检测/防御系统、网络防火墙和运用程序防火墙都无法检测到该后门的存在。现在基本都会被检测了。项目地址:https://github.com/anestisb/WeBaCoo
(19) Webhandler 一款Python措辞编写的php webshell安全测试工具,紧张以system、passthru、exec等函数实行命令,但它不仅支持系统命令,还供应了以@开始的专有命令用于渗透测试,如:获取系统信息、端口扫描、上传下载、FTP/MYSQL爆破、创建后门(反弹shell)等。项目地址:https://github.com/lnxg33k/webhandler
(20) Webshell-Sniper 一款Python措辞编写的webshell管理器,支持的功能有:文件管理、命令实行、数据库管理、端口扫描、反弹Shell等,已经停滞更新了。项目地址:https://github.com/WangYihang/Webshell-Sniper
(21) Metasploit 如:文件管理、命令实行等,脚本类型支持ASPX、PHP、JSP等。项目地址:https://github.com/rapid7/metasploit-framework
(22) PhpSploit 一个由Python编写的后渗透利用框架,支持在Win/Linux/Mac等平台实行,该工具会对标准客户端要求以及Web做事器干系要求的HTTP头数据进行稠浊处理,并利用一个小型后门来实现暗藏通信,<?php @eval($_SERVER['HTTP_PHPSPL01T']); ?>。项目地址:https://github.com/nil0x42/phpsploit
(23) SharPyShell 一个由Python编写的后渗透框架,用于C#Web运用程序的小型稠浊版ASP.NET WebShell,但仅支持在.NET Framework >= 2.0上运行,实行由加密信道吸收的命令,并在运行时将它们编译到内存中。项目地址:https://github.com/antonioCoco/SharPyShell
