打开题目,可以看见是一句话木马,还提示菜刀🔪。(懂了,这题要用菜刀砍屏幕得到flag)
菜刀其实指的是中国菜刀,是一个php木马连接工具,话说回来,什么是php一句话木马呢?
一句话木马
下面这个是最最最普通的php一句话木马
<?php @eval($_POST['vaeky']); ?>
那我们来分析一下这个木马,其中$_POST[‘vaeky’]这段代码将会获得post传输的变量名为‘vaeky’的值,
eval()函数会将括号里面的代码执行。对的,我相信你已经发现了如果我们将一段不怎么友好的代码(如偷偷的翻看别人学习资料的代码 ),会发生什么事情呢?没错,这段会被执行。这样我们就可以一定程度上操作这个主机了。
这就是一句话木马大概的原理。
那我们应该怎么合理又方便利用这段代码呢?
一句话木马连接工具
一句话木马既然这么nb,那肯定会被应用于渗透测试中,因此一批大神(比如未来的yyz )早已经写好了一些工具来使一句话木马能被更加方便的使用。这些工具中比较出名的是中国菜刀,c刀,蚁剑,冰蝎,Xise。这次我们以蚁剑为例蚁剑的下载与安装
木马的连接
安装好蚁剑后我们就可以开始连接木马了。打开蚁剑,右键后点击添加数据
点击添加数据,填好相关必填内容后点击测试连接,可以看见连接成功
最后点击上方的添加,可以看见已经成功添加了
我们双击打开这个数据
已经成功地连接上了木马,我们可翻找学习资料,不不不,flag了。
最终我们在根目录下发现了flag