一句话木马拿下webshell
2024-09-02 15:16:28
1、我们先建立一个简单的一句话木马文件,我们这里就命名为shell2吧。
2、因为提交的文件可能是有过滤的,我们这个靶场的这个题目就是禁止上传危险的文件类型,如jsp jar war等,所以就需要绕过过滤检测。我们这里用的方法是先将一句话木马重命名改成jpg格式,试了下jpg图片可上传。
3、开启bp抓包,设置好代理后开始拦截。bp拦截开启后,回到网页,提交刚才改好的jpg文件,然后我们就可以看到成功拦截到包。
上图可看到我们的包已经拦截下来。
4、然后我们将jpg后缀改回php后缀,让一句话木马变回可执行的。
5、记得点击放包,我们就成功绕过了格式过滤。
6、打开蚁剑或者中国菜刀进行连接,连接成功后便完成了,此时便可以对该机文件进行增删改。
(蚁剑和菜刀输入的网址不是原网页网址,而是一句话木马保存路径的地址。如果找不到,可以在bp的抓包页面找)
最后,我们连接成功后便可对其文件进行查看或者其他操作,例如增删改等等。这里我们就可以得到我们想要的key了。
总之,一句话木马非常强大,但是也有使用条件:
(1)木马上传成功,未被杀;
(2)知道木马的路径在哪;
(3)上传的木马能正常运行。
一句话木马拿下webshell
最新文章
- Java面试题总结(二)
- CentOS7配置日志(VirtualBox)
- SPOJ287 Smart Network Administrator(最大流)
- Freemarker 浅析 (zhuan)
- 斯坦福 IOS讲义 课件总结 二
- 【CSS】圆角阴影边框CSS
- robot framework -记录错误
- 201521123074 《Java程序设计》第2周学习总结
- LeetCode练习3 找出一个字符串中最大不重复子字符串的长度
- WebSocket异步通讯,实时返回数据相关问题论坛
- 关于vue的npm run dev和npm run build
- vc项目中加载多个lib遇到的问题
- ssh免密码登录Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 的解决方案!
- 『编程题全队』Alpha阶段发布说明
- [Java学习] Java异常处理基础
- DataType 数据类型
- Date.parse和new Date(str)的兼容性问题
- Mongodb开启远程连接并认证
- 转:XML 中的空白字符须知:xml:space
- wepy build 错误 [Error] 未发现相关 less 编译器配置,请检查wepy.config.js文件。