相信大多数的站长都用FTP来管理web空间,但是相对于菜刀来说FTP简直弱到爆.就数据库管理方面来说,phpmyadmin和帝国软件只能管理mysql数据库,而且在软件的体积上跟菜刀完全没法比,如果精通SQL语法,何必还要PHPMYADMIN呢?而且中国菜刀以其特色图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS,支持ADO方式连接的数据库。
服务端:
在服务端运行的代码如下:
PHP:
ASP:
ASP.NET:
JSP:
(注意: ASP.NET要单独一个文件或此文件也是Jscript语言)
叉叉之前在上传漏洞演示,利用burpsuite抓包改包上传最后讲到用菜刀连接,看看是怎么实现的:
在主视图中右键/添加,在弹出的对话框中输入服务端地址,连接的密码(这个必须要),选择正确的脚本类型和语言编码,保存后即可使用文件管理,虚拟终端,数据库管理三大块功能。要是其它都没错误,那么可能就是你把语言编码选错了.
1. 文件管理:缓存下载目录,并支持离线查看缓存目录,上传下载修改文件
2. 虚拟终端:人性化的设计,操作方便;(输入HELP查看更多用法)
3. 数据库管理:图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS支持ADO方式连接的数据库。
(各种脚本条件下的数据库连接方法请点击数据库管理界面左上角处的配置按钮查看)
PHP脚本:
类型 类型可为MYSQL,MSSQL,ORACLE,INFOMIX中的一种
主机地址 主机地址可为机器名或IP地址,如localhost
数据库用户 连接数据库的用户名,如root
数据库密码
连接数据库的密码,如123455
ASP和ASP.NET脚本:
类型 类型只能填ADO
ADO配置信息
ADO连接各种数据库的方式不一样。如MSSQL的配置信息为
Driver={Sql Server};Server=(local);Database=master;Uid=sa;Pwd=123456
4. 网站蜘蛛功能:织出一张网站的目录结构。下载的列表文件存在桌面,右键菜单/载入URL列表即可以根据地址得到目录结构
中国菜刀上传的机制:
通过WebDAV文件上传
通过JBoss jmx-console 或者Apache的Tomcat管理页面上传
远程代码执行下载
通过其他方式接入后传输
其攻击payload的编码如下: