文件上传漏洞(二)中国菜刀

简介: 文件上传漏洞(二)中国菜刀

image.png


介绍

中国菜刀是一款远程控制软件,可以在Windows系统上使用。它可以让用户通过网络远程控制其他计算机,包括文件管理、进程管理、远程桌面等功能。

使用中国菜刀需要注意以下几点:

中国菜刀需要在两台计算机上同时安装,一台作为控制端,一台作为被控制端。

被控制端需要开启远程桌面功能,并设置允许远程连接。

为了安全起见,建议在使用完毕后及时关闭远程连接。

以下是使用中国菜刀进行远程桌面连接的步骤:

1. 在控制端打开中国菜刀软件,点击“添加主机”按钮,输入被控制端的IP地址和端口号,点击“确定”按钮。
2. 双击刚刚添加的主机,输入被控制端的用户名和密码,点击“确定”按钮。
3. 在弹出的远程桌面窗口中,输入被控制端的用户名和密码,点击“确定”按钮。
4. 成功连接后,即可在控制端远程控制被控制端的桌面

实施步骤

制作后门文件

image.png


根据不同的前端语言框架编写对应的一句话mua

上传webshell

image.png


上传成功后会显示上传的路径信息,这个在实战环境下是没有的,只是方便大家理解。

在菜刀的搜索栏里填写目标url,则可以连接。

image.png

成功连接后,选择目标右键,即可出现下图下拉框

image.png

管理文件

有时候多网站部署在一台服务器的时候,会能够直接看到多网站的系统目录

image.png

虚拟终端

选择目标url右键选择虚拟终端

image.png

开启虚拟终端选项的时候回模拟一个Linux命令行或者cmd

image.png

管理数据库

需要配合sql注入获取到数据库的账号密码进行进一步的数据库管理

image.png

上面为语法,T数据库类型,H数据库地址,U账户名称,P密码,Lutf-8是语言

需要通过webshell获取到数据库的管理员账号





相关文章
|
安全
CNVD-2021-49104——泛微E-Office文件上传漏洞
CNVD-2021-49104——泛微E-Office文件上传漏洞
601 1
CNVD-2021-49104——泛微E-Office文件上传漏洞
|
3月前
|
JavaScript 前端开发
又一个下载恶意文件的政府网站
又一个下载恶意文件的政府网站
|
3月前
|
安全 JavaScript 前端开发
一个下载木马的网站
一个下载木马的网站
|
3月前
|
安全
[2006-04-12]一个下载传奇盗号木马的网站(第2版)
[2006-04-12]一个下载传奇盗号木马的网站(第2版)
|
5月前
|
安全 Shell Linux
Webshell管理工具:AntSword(中国蚁剑)
中国蚁剑的下载、安装、详细使用步骤
565 1
|
7月前
|
开发框架 安全 .NET
文件上传漏洞技术总结
该文总结了文件上传技术相关的漏洞和绕过方法,包括语言可解析的后缀(如phtml、pht)、常见的MIME类型、Windows特性(如大小写、ADS流、特殊字符)、0x00截断技巧(需满足PHP版本和magic_quotes_gpc状态)、POST型0x00截断、文件头检查(通过合成图片马绕过)、二次渲染(利用未修改部分插入恶意代码)以及各种服务器的解析漏洞(Apache的.htaccess、解析漏洞,IIS的目录解析、文件解析、默认解析和IIS 7.x/Nginx的畸形解析)。此外,还提到了Java的空字节截断问题。
175 1
文件上传漏洞技术总结
|
7月前
|
安全 数据安全/隐私保护
webshell菜刀后门分析
webshell菜刀后门分析
40 1
|
开发框架 安全 前端开发
【网络安全】护网系列-web漏洞(文件上传漏洞、文件包含漏洞)
【网络安全】护网系列-web漏洞(文件上传漏洞、文件包含漏洞)
396 0
|
开发框架 安全 前端开发
|
开发框架 安全 Java
【每日渗透笔记】文件上传绕过尝试
【每日渗透笔记】文件上传绕过尝试
331 0
【每日渗透笔记】文件上传绕过尝试

热门文章

最新文章