kali 如何编写shell_如何编写webshell管理工具菜刀

最新推荐文章于 2023-10-22 10:31:57 发布
最新推荐文章于 2023-10-22 10:31:57 发布
阅读量238 收藏
点赞数
文章标签: kali 如何编写shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39997696/article/details/113582788
版权

上面这个是一个很经典的菜刀,作为经常使用的工具,我们有必要看看它的原理,是什么处理的,那么怎么知道菜刀是怎么进行管理webshell的呢!

有个很好的方法就是抓包,抓取这个软件发出的数据包就可以看到整个流程了

准备工具:菜刀一个,WSExplorer 抓包工具,火狐浏览器

那么现在来演示一下,这里我用的菜刀是XISE他的功能比较强大,所以就用它来演示

它还查询收录情况

这里我是利用本地搭建的phpstudy集成环境演示

以及一个很普通很普通的一句话,密码是pass

现在准备开始抓包了!!!

接着我点击连接webshell,可以看到这个xise发送了很多数据包出去

现在来单独看看都是做什么的。

先看看它发出去的这个执行命令的请求

先用狐火执行一下看看是返回什么结果,发现是获取了我电脑的盘符,操作系统等信息

那么现在要来解密一下这数据包了,虽然有编码和加密,没关系,现在来解码一下

这个范围内容%号开头就是url编码

注意这里要选择gb2312然后点击解码.我发现这个作者很不文明

去掉注释继续看下面的

这个范围内容使用的是base64加密,这里使用小葵工具进行解密

剩下的这一小段能看到开头是url。剩下的是还是base64加密,所以先进行一个url解码

ok,至此完全解密

文章写了好多,知乎刚刚问题发布不了。。还保存不了草稿,

所以就简单介绍一下剩下的

接着看其他数据包

执行结果如下。

这个是获取到了根目录

这个是获取了一下所有的文件,包括文件名,时间,字节,权限等

可以利用这种抓包方式抓取其他功能的数据包比如:上传,修改,增加,执行命令等

这里就不一一演示,直接给出一个抓取的结果

那么现在我们就会发现编写菜刀很简单了,只要按照这种方式稍加修改发送出去即可!

weixin_39997696
关注
哥斯拉Godzilla Shell管理工具使用,马分析,特征分析(4K屏不好用,Webshell
墨痕诉清风的博客
04-18 7676
目录 马分析 正文 总结一下木马的利用逻辑: 总结木马特征: 简单使用方法 一些特性 流量加密 插件模块 数据库管理 内存shell 屏幕截图 虚拟终端 JMeterpreter​ ServletManage​ JarLoader​ JZip​ ByPassOpenBasedir​ BypassDisableFunctions​ 笔记 ShellCodeLoader SafetyKatz lemon BadPotato​ SharpWeb​ Sweet...
WebShell连接工具(中国菜刀WeBaCoo、Weevely)使用
悦分享
07-31 3466
第三步此时会弹出一个添加shell的对话框,由图一看出我的“dxr.php”上传在站点根目录,所以这里的地址填为http//localhost/dxr.php。最后把这个文件保存,上传到你站点里面,可以是根目录,也可以是其他,都行的。这些网页脚本常称为WEB脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。最后点击“添加”按钮,成功后就会产生一条新的记录,鼠标右键点击就可以进行操作了,如下图,可以进行文件管理,数据库管理,虚拟终端。哈哈...大功告成!...
kali 如何编写shell_给Kali Linux安装ZSH,使终端丰富多彩
weixin_32523999的博客
01-27 895
原标题:给Kali Linux安装ZSH,使终端丰富多彩在本文中,我将展示我的ZSH (Z shell)实现,它是BASH更好的shell替代品,在这里我将展示适合所有人的主题和插件,以及如何在Kali Linux中安装ZSH,使终端变得丰富多彩。什么是ZSHZsh也称为Z shell,是Unix shell,它是Bourne Shell(sh)的扩展版本,具有许多新功能并支持许多插件和主题。它是...
kali 如何编写shell_kali linux肿么编写JAVA?
weixin_36385240的博客
02-06 155
在java程序中如何调用linux的命令?如何调用shell脚本呢?这里不得不提到java的process类了。process这个类是一个抽象类,封装了一个进程(你在调用linux的命令或者shell脚本就是为了执行一个在linux下执行的程序,所以应该使用process类)。process类提供了执行从进程输入,执行输出到进程,等待进程完成,检查进程的推出状态,以及shut down掉进程。至于...
webshell制作
qq_44790964的博客
10-22 846
就是脚本木马的制作与原理 是一个web后门 webshell的种类 最终的目的就是上传大马进行提权 一句话木马 保存一个脚本 为X.asp request是get post cookie 都可以传 那网站根目录下怎么传参 定义的是value 是通过value这个参数来传传参的 菜刀就是把value设置成密码 网站根目录/X.asp?value= 工作原理 request就是定义传定方式的 常见...
Kali下常见webshell管理工具汇总
ncafei的博客
04-24 1万+
转 自 https://www.ohlinge.cn/kali/kali_webshell.html 0x01 前言 Kali Linux作为一款专为渗透测试而生的Linux操作系统,在安全界的影响广泛。一般的webshell在Windows下面经常使用Chopper(中国菜刀)来管理,那么在Linux下面,有没有类似的工具来达到类似的效果呢?答案是肯定的。 0x02 跨平台版菜刀:Ck
kali 如何编写shell_kali linux的基本设置
weixin_39524984的博客
12-22 554
在前面学习了 Kali Linux 操作系统的安装,安装成功后就可以登陆到系统了,登陆系统后,就可以使用各种渗透工具对计算机做测试,为了方便后面章节的学习,介绍一下kali linux的基本设置1.6.1 启动默认的服务Kali Linux自带了几个网络服务,它们是非常有用的。但是默认是禁用的,在这里,将介绍使用各种方法设置并且启动服务1.启动Apache服务执行命令如下:root@kali:~#...
Kali Linux自带webshell的使用
汗的博客
03-31 6914
大家都比较喜欢用菜刀、蚁剑、冰蝎这类图形化webshell管理工具,但是webshell的知识还是要有的,比如反弹常用的webshell。我简单介绍一下kali自带的反向webshell Kali自带webshell目录: /usr/share/webshells/ 可以看到有asp、aspx、jsp、perl、php等类型webshell 主要谈谈反弹的phpwebshellphp-rever...
kali渗透学习-Web渗透WebShell(中国菜刀WeBaCoo、Weevely)
weixin_43239236的博客
01-23 873
Webshell 本质:<?php echo shell_exec($_GET['cmd']);?> 就是连接web执行一个shell终端,用一句话在浏览器中执行,不方便 windows平台 中国菜刀 中国菜刀官网:胖客户端程序,国产中比较优秀的webshell,适用性较强  【但版本众多而乱,可能存在木马,据说的官网http://www.maicaidao.co/】 1、利用上传漏洞,先上传一句话木马【支持三种服务器端PHP、ASP、ASP.NET】 使用ssh连接metasploitabl
kali自带的webshell工具weevely教程--并没有成功的教程
MOLLMY的专栏
08-08 4143
文章目录在前面官方教程翻译xctf web 10 webshell最终还是用菜刀解决 在前面 最近在做xctf的新手入门题,个人偏好web和reverse,crypto碰都不想碰。。 做到web 题第10题的时候遇到一个特别烦的问题,我自己主机上装菜刀web shell不是下载时就被chrome删掉就是解压时被系统防火墙删掉,不敢把防护全关了,只能在虚拟机里再装个windows。 然而装起来...
IVBD『PHP菜刀html版开源』
11-11
IVBD工作室搜集网上资源及收费软件,授权于麒麟安全组旗下
weevely Linux kali 系统自带的菜刀
学习、分享、交流
04-09 3062
weevely是一款基于python编写webshell生成、管理工具
kali 如何编写shell_我的shellcode编写之路 |MSF| Shellcode | kali linux 2017
weixin_39681486的博客
12-22 721
1.我有一个大胆的想法其实shellcode的这篇的灵感也是在与和车王两人的沟通,在他的带领下 也是才知道https://www.exploit-db.com/?原来也有shellcode的一篇新的视角,也是在第二天的时间,也是偷偷的趁着上班的空余时间 研究了一下,上帝第一视角。也是蛮有意思的事情。在shellcode中包含了很多平台的shellcode。2.无心插柳柳成荫3.shellcode ...
内网渗透 | 手把手教你如何进行内网渗透
songbai220
11-23 1万+
内网渗透 | 手把手教你如何进行内网渗透 目录 内网渗透 | 手把手教你如何进行内网渗透 0x01 DMZ渗透 0x02 跳板及内网探测 0x2.1 做跳板 0x2.2 内网探测 0x03 第二层渗透 0x3.1 web渗透 or MS17_010 0x3.2 内网探测+跳板代理链 0x4 第三层内网渗透 0x5 总结 0x5.1 跳板总结 0x5.2 内网探测 0x5.3 后话 0x01 DMZ渗透 首页 看到DMZ开启了web服务,是一个typec...
Kali工具大全(汇总)
最新发布
精品博客,你值得一看~
10-22 787
kali常用工具汇总,以及做了简单的功能描述,当然,里面的功能可能随着版本的迭代而移除,但我们仍然可以安装,总结不全之处还请谅解.利用msf的exp结合xss构造有攻击性的html页面,当浏览器访问即会受到攻击并获取shell。生成包含exp的windows/android等各平台的可执行文件,木马制作利器。类似gcc的编译器,更轻量,可编译c、c++、Objective-C。基于已捕获握手包和密码字典的WPA-PSK加密的wifi密码的猜解。针对开启WPS的wifi利用WPS随机数生成中的bug来破解。
kali Linux shell编程基础到进阶
xk的博客
11-01 6375
前几天在群里听他们说不会shell编程就不算会linux,嘿,就我这暴脾气,学!干!嘿嘿!行了,不扯犊子了,犊子要生气了,最近学习了shell,感触颇多,我也参考了其他大佬的经验,看着视频课,学了些许基础,其实也就是那回事,认认真真踏踏实实的学,是能学到东西的,还有,要是自学的话,一定要能坐得住啊! shell介绍 shell(外壳)是C语言编写的程序,是用户使用linux的桥梁,shell既...
xise ado oracle,xise菜刀30.0版本
weixin_33228847的博客
04-04 530
XISE WBMSV30.0整合更新功能如下:·生成内页修复生成内页内核,加速生成效率。·生成内页支持新闻采集模式,可选本地新闻或远程新闻。·生成内页支持防删功能。·生成内页支持批量操作,可数千shell不间断生成。·生成内页支持保存结果功能,结果保存为“\xise\备份\”。·生成内页强制跳出线程,批量生成时须设置,防止卡死。·批量上传文件支持自动化,可上传文件夹。·批量上传文件支持上传完后自...
xise php一句话木马,渗透利器 | 常见的WebShell管理工具
weixin_42105816的博客
04-02 1662
攻击者在入侵网站时,通常要通过各种方式Webshell,从而获得服务器的控制权限,然后再执行系统命令、权限提升、读取配置文件、窃取用户数据,篡改网站页面等操作。本文介绍十款常用的Webshell管理工具,供你选择,你会选择哪一个?1、中国菜刀(Chopper)中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!在非简体中文环境下使...
Kalikali主要工具使用说明(文末附超全思维导图)
热门推荐
PP_zi的博客
05-11 4万+
本文为《从实践中学习Kali Linux渗透测试》总结笔记,仅供学习使用,禁止用于非法用途,转载请附上原文链接! 1. 信息收集 1.1 发现主机 traceroute 获取目标主机的路由条目,确定网络拓扑。每一跳表示一个网关,星号可能为防火墙导致。 1.1.1 扫描主机 ① nmap nmap -sP ip/ip段 对目标主机实施ping扫描,探测主机是否在线 也可以通过其他语法,扫描主机开放端口、使用的操作系统等 ② Netdiscover ARP侦查工具,可以扫描IP地址,检查在线主机。 .
kali img_stat工具使用
05-19
`img_stat` 是 Kali Linux 上的一个工具,用于分析磁盘镜像文件的元数据和文件系统信息。 使用 `img_stat` 工具的基本语法是: ``` img_stat ``` 其中,`<image file>` 是要分析的磁盘镜像文件的路径和名称。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值