wooyun首发版本,Xshellscan1.0版本-专注于脚本木马查

  • A+
所属分类:WooYun-Zone

让吹过的NB实现

感谢那些帮助过我的人,感谢@园长

牵着@sky,@z7y飘过,顺带@saline

1.本程序通过进程与多线程实现木马查杀,速度很快

2.采用IO纯静态正则匹配进行webshell查杀,以及关键字

3.实现递归一个payload一个线程,如果写正则的话直接copy,然后填充正则即可

4.实现开放源代码,本脚本适合跨平台使用,支持扩展payload

6.采用python2.73编写

5.已经支持asp简单查杀,php木马查杀,jsp木马查杀

7.使用方法:python system.py  /var/www

8.误杀很正常,配合手工分析

9.采用python面对对象方式编程,代码编写美观,遵守pep8

对未来的展望,在shellscan2.0中实现更多的webshell查杀,精确

下载地址:https://github.com/jusker/Xshellscan

wooyun首发版本,Xshellscan1.0版本-专注于脚本木马查

wooyun首发版本,Xshellscan1.0版本-专注于脚本木马查

wooyun首发版本,Xshellscan1.0版本-专注于脚本木马查

wooyun首发版本,Xshellscan1.0版本-专注于脚本木马查

  1. 1#

    普通绿帽子 | 2014-11-30 17:03

    赞~!

  2. 2#

    Sura、Rain | 2014-11-30 17:06

    好东西,虽然我不懂python

  3. 3#

    Jumbo (www.chinabaiker.com) | 2014-11-30 17:11

    来个传上去就能用的呗

  4. 4#

    _Thorns (舍就是得。) | 2014-11-30 17:21

    好东西,虽然我不懂python

  5. 5#

    whale | 2014-11-30 17:26

    python版本是多少?

  6. 6#

    answer | 2014-11-30 17:34

  7. 7#

    RedFree (‮11:11 11-11-1112 |※(器杀制自) | 2014-11-30 17:37

    应该使用SQLite入库记录,再用Qt设计师画一个漂亮的GUI。一行一行的记录看着跟Web服务器日志一样,用户体验太差。

  8. 8#

    小 葛 (http://sechome.cn/) | 2014-11-30 19:22

    @RedFree shell窗口怎么用gui? 搞个vps还要装个桌面么…….

  9. 9#

    寂寞的瘦子 (傻逼了。。) | 2014-11-30 19:33

    让jusker装过的逼成为现实,我擦?

  10. 10#

    sky (啪啪啪啪脸好疼是不是?) | 2014-11-30 19:48

    为啥不感谢我,小子~

  11. 11#

    jusker (http://www.jusker.com) | 2014-11-30 19:51

    @sky 请看

  12. 12#

    jusker (http://www.jusker.com) | 2014-11-30 19:51

    @寂寞的瘦子 – -

  13. 13#

    sky (啪啪啪啪脸好疼是不是?) | 2014-11-30 19:54

    @jusker WB没到帐啊~我操,你坑我。

  14. 14#

    sky (啪啪啪啪脸好疼是不是?) | 2014-11-30 19:54

    @ 小 葛 他装的是linux系统,

  15. 15#

    静默 | 2014-11-30 20:39

    屌爆了

  16. 16#

    抓根宝 (直到我膝盖中了一箭!!!) | 2014-11-30 20:44

    这正则误杀率略吊

  17. 17#

    寂寞的瘦子 (傻逼了。。) | 2014-11-30 20:47

    @jusker 说好的原生debian呢,你妹的尽然是kali

  18. 18#

    zzzzy (我已然别无所求) | 2014-11-30 22:50

    求此桌面图

  19. 19#

    jusker (http://www.jusker.com) | 2014-11-30 23:27

    @寂寞的瘦子 – -… 额。。。kali工具多

  20. 20#

    xiaoL (http://www.xlixli.net) | 2014-12-01 10:55

    @jusker script下的代码复用是不是有点问题
    每个脚本都是正则跟标题不一样
    写成变量加载会不会更好

  21. 21#

    jusker (http://www.jusker.com) | 2014-12-01 11:14

    @xiaoL 下次更新

  22. 22#

    寂寞的瘦子 (傻逼了。。) | 2014-12-01 11:46

    @xiaoL 你这厮又想强行装逼(~o~)Y

  23. 23#

    园长 (喵~) | 2014-12-01 12:10

    配置文件的方式动态加载正则表达式

  24. 24#

    jusker (http://www.jusker.com) | 2014-12-01 12:14

    @园长 – - ….

  25. 25#

    saber (终极屌丝之路~) | 2014-12-01 12:22

    金山某沙龙见过大牛你了。。

  26. 26#

    winsyk (W) | 2014-12-01 13:04

    我擦,这个是咋和我写的那么像。。。

  27. 27#

    xiaoL (http://www.xlixli.net) | 2014-12-01 14:48

    @寂寞的瘦子 又被你发现了
    好惭愧啊

  28. 28#

    xsjswt | 2014-12-01 15:15

    这东西主要是看特征库

  29. 29#

    asdf (import pdb;pdb.set_trace(); name=”signature” type=”text” maxlength=”25″) | 2014-12-01 16:14

    @xsjswt 这东西主要是看特征库

  30. 30#

    动后河 (☭) | 2014-12-01 18:45

    “遵守pep8 ”
    小哥这句话也太夸张了吧…你遵守那规范干嘛特别骄傲地说出来,那规范死板的地方很多

  31. 31#

    RainShine (I’m your angel of music.) | 2014-12-01 18:54

    Asp特征库我看看能不能多找几个特征吧……

  32. 32#

    jusker (http://www.jusker.com) | 2014-12-01 21:26

    @RainShine   OK 3Q

  33. 33#

    zzzzz | 2014-12-02 03:07

    不是PHP你说个p.

  34. 34#

    jusker (http://www.jusker.com) | 2014-12-02 07:06

    @zzzzz 你废话真多

  35. 35#

    MuZhU0 | 2014-12-02 07:14

    遵守pep8

  36. 36#

    big、face | 2014-12-02 08:16

    学习学习.

  37. 37#

    泳少 (此号被射!by U神) | 2014-12-02 08:30

    感觉这个PY脚本不错!

  38. 38#

    fresh | 2014-12-02 09:06

    学习学习了 赞

  39. 39#

    Stanley | 2014-12-03 17:28

    后排围观琦神!学起来

  40. 40#

    xsjswt | 2014-12-03 17:40

    php是世界上最好的语言

  41. 41#

    ztaosony | 2014-12-03 19:39

    php搞的飞起

  42. 42#

    RainShine (I’m your angel of music.) | 2014-12-03 19:53

    @jusker 对了,关于Asp特征码,是像360一样宁可错杀1000不放过1还是谨慎一点?……

  43. 43#

    jusker (http://www.jusker.com) | 2014-12-04 11:27

    @RainShine   你可以发一篇asp webshell的文章

  44. 44#

    Manning (MSpider作者) | 2014-12-04 11:39

    改改就能只查哈哈

  45. 45#

    RainShine (I’m your angel of music.) | 2014-12-04 12:55

    @jusker OK.尽我所能吧。关于Webshell的什么呢?分析?免杀?还是什么呢~

  46. 46#

    greg.wu | 2014-12-04 17:30

    不错,lz牛逼

  47. 47#

    金枪银矛小霸王 (勿忘初心:)) | 2014-12-06 23:00

    误报率大概有多大呢

  48. 48#

    流星warden (尘归尘,土归土,让往生者安宁,让在世者重获解脱。) | 2014-12-06 23:15

    弱弱的给一个建议,界面可以弄的好看一点的

  49. 49#

    jusker (http://www.jusker.com) | 2014-12-07 00:19

    @流星warden 恩在shellscan2.0里面改善,但是还是cli的模式,不喜欢用qt或者wxpython

  50. 50#

    流星warden (尘归尘,土归土,让往生者安宁,让在世者重获解脱。) | 2014-12-07 01:32

    @jusker 参考metasploit  开场可以来一个小牛。小样之类的   很简单的 。。。。

  51. 51#

    邓先生 (我是小学生) | 2014-12-08 13:11

    看样子不错

  52. 52#

    Sunshine (0123456789) | 2014-12-08 13:25

    o(╯□╰)o刚看我还以为是红帽或者centos,,,居然是装了xfce的kali

  53. 53#

    D&G | 2014-12-08 13:38

    过期了。。。

  54. 54#

    jusker (http://www.jusker.com) | 2014-12-08 13:40

    @D&G 已更新,换成github了

  55. 55#

    D&G | 2014-12-08 14:15

    @jusker thanks~

  56. 56#

    凤凰 (凤凰涅磐,浴火重生) | 2014-12-08 14:48

    @jusker thanks~ 赞共享!

  57. 57#

    sin | 2014-12-17 12:32

    @jusker 就欣赏自己动手写东西的人,赞一个.
    提个小建议,加个help可好?正则再多点?
    if(len(sys.argv) < 2):
       print
       print 'please input the path you want to scan '
       print 'usage: python system.py "/var/www/html"  '
       print
       sys.exit(0)
    wooyun首发版本,Xshellscan1.0版本-专注于脚本木马查

  58. 58#

    jusker (http://www.jusker.com) | 2014-12-17 14:57

    @sin OK最近有时间就填加一些木马特征

  59. 59#

    xsjswt | 2014-12-17 15:02

    为啥我想起那啥年轻人多读书

  60. 60#

    jusker (http://www.jusker.com) | 2014-12-17 15:10

    @xsjswt – -  红烧猪头灯大牛

  61. 61#

    xsjswt | 2014-12-17 15:55

    @jusker 这玩意只是一个模型。实际在公司里面要能用的话,还有好多东西要考虑。

  62. 62#

    我了个去 | 2014-12-17 16:15

    建议把里面的中文都换成英文,否则在实际中使用的时候有时会很烦人

  63. 63#

    我了个去 | 2014-12-17 16:19

    刚看了下,里面没有中文,之前用过一个,里面有中文,linux机器临检的时候一堆乱码,虽然不怎么影响使用,但很烦人。

  64. 64#

    jusker (http://www.jusker.com) | 2014-12-17 21:38

    @xsjswt 我的一个业余时间写的东西- -。。。所以you know

  65. 65#

    catcat520 (‮‮‮‮‮‮‮‮((<㊙>) | 2015-04-17 13:32

    好jj

  66. 66#

    泪雨无魂 | 2016-01-03 11:33

    请问shellscan2.0 版本出了吗