前言:
该文章仅用于信息网络安全防御技术学习,请勿用于其他用途!
该文章为纯技术分享,严禁利用本文章所提到的技术进行非法攻击!
目录
Webshell是什么,能够干什么?
- webshell是一种通过web服务器远程控制网站的工具,一般是以脚本的形式嵌入到网页中,可以通过输入命令来执行系统命令,获取服务器的信息、上传文件等操作
那么Webshell管理工具呢?
- Webshell管理工具是一种管理webshell的软件,可以帮助用户更加方便的管理和使用webshell,比如可以通过图形化界面来执行命令,查看目录结构,上传文件等等,但是(由于webshell本身是一种黑客工具,所以也有可能被用于非法用途)
下面开始实操:
蚁剑:
1、蚁剑:https://github.com/AntSwordProject/antSword
(1):文档:https://www.yuque.com/antswordproject/antsword/srruro
(2):加载器releases:https://github.com/AntSwordProject/AntSword-Loader/releases
我这里开了两台靶机,第一台放了webshell文件,第二台使用webshell管理工具模拟攻击
添加URL地址成功后,就可以看到目标机器的相关目录了
- 右键选择文件管理
- 左侧列表可以看到目标C盘目录下的文件夹
- 右侧按钮可以对目标进行增删改查等操作
- 选择新建文件hhhh.txt,点击编辑文件
- 编辑完成后点击保存
- 查看目标靶机C盘目录中是否有hhhh.txt文件,并且内容正确
- 文件和攻击机添加的一致
- 选择上传文件
- 上传成功后,查看目标靶机是否上传成功
- 上传成功
蚁剑的缺点:流量特征,使用抓包工具抓流量包,在请求包里面User-Agent:显示的是ant Sword
请求体里面则显示@ini_set
哥斯拉:
哥斯拉下载:https://github.com/BeichenDream/Godzilla/releases
1、使用Java命令成功启动哥斯拉
2、写一个木马文件,命名为gsl.php
1、打开upload-labs靶场进行验证一下
2、BP开启拦截,点击文件上传刚才生成的木马文件
3、burp里将上传文件的后缀名改回php,然后forword
4、回到浏览器,可以看到木马已经上传成功了
1、F12出来后右上角有一个小箭头,选择它。然后鼠标移动到页面哪里就会自动定位到该处的代码
2、也可以右键选择open in new tab直接打开地址
3、复制该地址回到哥斯拉,“目标”->“添加”,填写里面的内容。要和这个木马生成时候选的的选项保持一致
4、可以先“测试连接”,看是否有出错,提示“success”了再“添加”
1、进入目标之后可以看到目标的基础信息以及上面的菜单工具栏
2、点击文件管理可以看到下面的操作按钮,功能很强大,很齐全了,我这里就不一一展示了