文章总结： MatouWebshell是一款基于Vue3与Python的Webshell管理与后渗透平台。它支持生成PHP、JSP、JSPXWebshell，并提供自定义加密与流量格式（如JSON/XML/PNG）以规避检测。平台集成终端、文件与数据库管理，具备内网穿透（SOCKS代理等）及JSP内存马注入功能，旨在通过流量伪装提升红队行动隐蔽性。 综合评分： 88 文章分类： WEB安全,红队,内网渗透,安全工具,渗透测试

新一代Webshell 管理与后渗透平台 | 去除通信流量强特征，支持自定义流量格式实现流量伪装

HeNrY4396

夜组安全

2026年1月8日 08:00 青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：baobeiaini_ya

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

MatouWebshell 是一套基于 Vue 3 + Python 的 Webshell 管理与后渗透平台，面向授权的安全测试/红队演练。内置 Webshell 生成与连接能力，支持 Linux 目标下的 PHP、JSP、JSPX，并可自定义加密方式与请求/响应封装（form/json/xml/png 等），便于按业务流量形态进行伪装与兼容。提供命令终端、文件管理（大文件分块上传下载、编辑、压缩解压、权限/时间属性修改）、数据库管理等常用模块，并集成内网穿透（SOCKS 代理、端口映射、反向 DMZ/JSP）及 JSP 内存马加载/卸载与组件信息查询。

工具功能

基础配置

生成webshell的基础配置参数如下：

• 参数名：在初始化阶段，客户端需将加密的payload以form格式发送至webshell服务端，post请求参数如：{参数名}={encryptedPayload}
• webshell类型：支持php、jsp和jspx
• CookieName：你可以理解成webshell的密钥，用于激活webshell功能的开关
• 标识符替换功能：替换指定前缀的变量标识符，支持“随机生成”和“变量池文件”（变量池文件为位于router_modules/webshellmanager_router/webshell目录，用户可自行修改变量池文件的标识符）

高级选项

jsp和jspx类型都支持关键字混淆功能，jsp仅支持Unicode编码混淆，而jspx则支持Unicode编码、CDATA拆分、HTML实体编码、HTML+Unicode编码、CDATA+Unicode编码和CDATA+HTML编码

传输与加密

用户可以自定义数据通信的加密类型、请求格式和响应格式, 例如下面选择加密类型为aes_base64，请求格式为form，响应格式为json（当选择该格式时会弹出“JSON响应模板”，“PAYLOAD_DATA”则作为加密数据的占位符）

支持用户自定义请求内容，目前支持form、plain，json/xml以及png格式，可通过配置json内容来修改请求格式

如下演示请求格式为xml，响应格式为json

如下演示请求格式为form，响应格式为png

命令行终端

文件管理

数据库管理

内网穿透

内网穿透功能允许你通过已控制的 Webshell 服务器访问其内网资源，支持三种模式

• SOCKS代理：在本地开启一个SOCKS代理端口，然后将浏览器或扫描器等任何支持SOCKS协议的工具指向该端口，就可以自由访问webshell内网中任意的IP和端口。支持内网白名单ip功能，启用后仅与白名单IP建立隧道
• 端口映射：将内网端口映射到本地，例如将内网的3306端口映射至本地，再使用本地工具进行连接
• 反向 DMZ（只支持jsp）：反向代理内网服务，适用于反弹shell

内存马注入(jsp)

目前支持以下内存马类型：

• Servlet 内存马：注册为 Servlet 组件
• Filter 内存马：注册为 Filter 组件

工具获取

点击关注下方名片进入公众号

回复关键字【260108】获取下载链接

往期精彩

[Burp Suite插件 | AI连接本地工具、数据库或远程 Agent，辅助安全测试。

2026-01-07

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496073&idx=1&sn=136cb9b4aff4f4975877bbd2df485a04&scene=21#wechatredirect)[Shiro漏洞利用工具，更新V0.2！

2026-01-06

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496061&idx=1&sn=e7bf2f8b466e65ba8ca509f5fdcc8f03&scene=21#wechatredirect)[Burp Suite 插件 | 利用AI为复杂的 HTTP 请求自动生成 Fuzz 字典

2026-01-05

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496046&idx=1&sn=290789889a0d658d97d2e1e7d4ea0a23&scene=21#wechatredirect)[一款轻量级的CTF/渗透测试Fuzz工具 | 多编码方式、多线程、代理转发

2026-01-04

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496045&idx=1&sn=040873c2f104d627857d7fa4666645c0&scene=21#wechatredirect)[25年结束了 黑客们有啥收获？

2025-12-31

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496036&idx=1&sn=ef3a0c4684435cc9fed64c8a49542298&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 HeNrY4396《新一代Webshell 管理与后渗透平台 | 去除通信流量强特征，支持自定义流量格式实现流量伪装》