首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Web安全-一句话木马

小马和大马 小马和大马都是网页类型中的一种后门,是通过用来控制网站权限的,那最主要的区别就是小马是用来上传大马的。...其实这里是因为小马体积小,有比大马更强的隐蔽优势,而且有针对文件大小上传限制的漏洞,所以才有小马,小马也通常用来做留备用后门等。...我们这里说的小马和大马是指网页类型中的,小马就是为了配合上传大马的,这是它最主要的作用,还有就是小马可以当做备用的后门来使用,一般大马容易被发现,而小马则更容易隐藏在系统的文件夹中。...WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。...黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

8.7K11
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    web安全一句话木马_web安全入门

    小马和大马 小马和大马都是网页类型中的一种后门,是通过用来控制网站权限的,那最主要的区别就是小马是用来上传大马的。...其实这里是因为小马体积小,有比大马更强的隐蔽优势,而且有针对文件大小上传限制的漏洞,所以才有小马,小马也通常用来做留备用后门等。...我们这里说的小马和大马是指网页类型中的,小马就是为了配合上传大马的,这是它最主要的作用,还有就是小马可以当做备用的后门来使用,一般大马容易被发现,而小马则更容易隐藏在系统的文件夹中。...WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。...黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

    5.4K40

    Stealth Falcon黑客组织文件后门分析

    citizen lab报告中记录的攻击中关键组件是一个基于powershell的后门,该后门通过一个包含在恶意电子邮件中的附件文档进行传播。...近期发现了一个以前未报告的二进制后门,我们命名为win32/stealthfacon。在本文中,我们将分析介绍新二进制后门和powershell脚本之间的相似之处。...Win32/StealthFalcon后门是在2015年创建的,允许攻击者远程控制受损的计算机。在阿联酋、沙特、泰国和荷兰发现了该后门。...如果后门无法联系到C&C服务器,后门会在多次失败后将自己从受损系统中移除。 后门功能 win32/stealthfalcon是一个dll文件,在执行之后,它将自己设置为用户登录时运行。...与Stealth Falcon的联系 Citizen Lab分析中描述的win32/StealthFalcon和基于powershell的后门共享同一个C&C服务器:在Citizen Lab分析的后门

    1.1K00

    干货 | WebShell基础详解

    Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。...黑客在入侵了一个网站后,通常会将asp或php后门文件与网站目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。...WebShell的分类 Webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,JSP脚本木马,也有基于.NET的脚本木马。...根据时代和技术的变迁,也有用python和lua编写的脚本木马,常用有如下几种: 大马 •体积大,功能全•会调用系统关键函数•以代码加密进行隐藏 小马 •体积小,功能少•一般只有一个上传功能,用于上传大马...内存马是文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多

    9.5K32

    webshell盒子黑吃黑

    0x00 前言 在测试过程中,往往会用到各种大马,一句话,菜刀等渗透工具,但是有想过这些工具是否存在后门吗?网上有不少破解程序使用,当你试图攻击别人时你已经变成了肉鸡。...asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。...然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等操作,以达到控制网站服务器的目的 如一句话木马:短小精悍,而且功能强大,隐蔽性非常好...不知道数据库也可以,只要知道这个文件被插入到哪一个ASP文件里面就可以了,这就被称作一句话木马 0x02 后门是什么 一般存在后门的话,所获得的shell会通过后门发送给箱子,那个箱子就是用来装...尝试在浏览器地址栏输入 http://39.96.44.170/api.asp?

    1.7K30

    从目录信息泄露到渗透内网

    教程列表见微信公众号底部菜单 1、目录信息泄露 目录信息泄露是指当当前目录index.html/index.asp/index.php/index.asp.net等指定主页的情况下,直接显示目录下所有的文件及其目录...图6获取上传页面 7、构造文件解析漏洞 在文件上传页面,通过查看,发现可以直接创建自定义文件,在该目录中创建1.asp文件夹,如图7所示,可以直接船舰1.asp文件夹;然后选择文件上传,如图8所示,构造一个...图7创建1.asp文件夹 图8上传1.avi文件 通过浏览1.avi获取文件的url地址,如图9所示,将多数体链接地址复制下来,直接获取webshell,使用中国菜刀管理工具,顺利获取webshell...图9获取webshell地址 图10获取webshell 8、获取数据库密码 通过中国菜刀后门管理工具,上传一个asp大马,有时候webshell会被查杀或者防火墙拦截,如图11所示上传一个免杀的webshell...大马,通过大马对网站文件进行查看,在web.config文件中获取了mssql数据库sa账号和密码“fds%$fDF”。

    3.3K90

    实战 | 记一次私服的渗透测试到揪出维护人员

    进入到config目录AspCms_Config.asp为网站的配置文件目录,从文件名上我们也可以得到该网站是用aspcms搭建的,打开文件得到其配置的数据库账号密码但似乎只是个虚设其1433端口并未开放...,config_qp.php文件看着是个大马文件难道有前人来过?...0x03 Getshell 前面在翻备份文件中配置文件的时候发现了大马文件,很有可能有人来过也很有可能在其他目录存在别的后门,利用这个思路点使用D盾对整站进行扫描,扫描出了两个后门文件和一个扫马的工具文件...,已知那个大马文件已经被删除了但配置文件中存有后门的代码,可能是刚刚看的不仔细没发现返回去看果然在配置文件中被插入一句话后门,但遗憾的是也连接不成功,从这三个文件的修改时间来看是在同一天同一时段的,从时间的先后顺序看这里盲猜一波很有可能是管理员自己上传的后门测试扫马工具用的...接着访问根目录下的shell.asp扫马文件,发现其可以编辑文件的代码并保存又可以指定文件去修改,这不就妥妥的可以getshell了吗。

    3.2K50

    单刀直入某私服站

    (未命名安全团队取证过程截图) 既然是apache+php+mysql组合,猜测是phpstudy搭建的,还是个可能有后门的phpstudy,还试个毛注入,肯定先试后门直接可以getshell,看不懂后门自行百度...,复现 很简单 我日,这玩意真的有后门,哈哈,getshell了。...而且遇到一个坑卡了很久,大马进不去,密码是本地测试过是对的,无论输入多少次都是卡在这个页面,也换过其它大马测试也是这样。...解决的办法就是把大马文件改成txt,这样服务器访问就可以把完整大马代码给下载到,只要下指定绝对路径时改成php脚本就可以正常运行大马了。...(未命名安全团队取证过程截图) 查看进程是有个360的和一个不知名waf的,也是新装的服务器,看样子是准备随时跑路 踏破铁鞋觅处,得来全不费工夫,哈哈 翻目录时找到管理员留底的数据库路径文件,找到数据库账号密码

    80420

    Equation Group泄露工具之vBulletin文件后门分析

    脚本运行环境需要perl支持,直接运行该脚本会展示出该工具的使用方法,其中包括数据库的连接方法、后门操作及其他可自定义参数等。 ?...接下来进行复现,运行脚本指定door将后门插入到数据库当中。 ? 通过showDoor可以看出后门代码通过base64已经拼接在template当中。 ?...回过头来我们再看看vBulletin的代码,为什么会这样设置后门。...,如下图所示template代码被取出执行,其中包含的后门代码也被一并执行。...因此vBulletin论坛的维护人员若是在应用服务器进行恶意代码查杀肯定是无效的,只有进行数据库安全审计才可能触发告警,毕竟还要看是否有相关规则,这也就是该后门的厉害之处。

    1.1K60

    webshell 常见 Bypass waf 技巧总结

    一. webshell 免杀 0x0 php 内置函数加密 小例子: 在制作免杀大马之前,我们先来看看,一个带后门的免杀 php 大马是如何制作的。 ? 在后门网站 webshell8 下载好大马。...0x2 敏感函数免杀 主要是关键字的免杀,我一般直接偷网上带后门大马的。分享一个思路 这是love71表哥分享的 <?...后门隐藏与去除 关于后门的隐藏我不会给详细代码,只是分享一些,常见思路罢了(表哥可以把菜刀从我脖子拿开了嘛。。) 0x5 隐藏 收信代码网站简单 base64 加密就 OK 了?...这个也很重要,还有一个很猥琐的思路,多后门,给个明面看的后门,暗地还有一个后门。。 ?...0x6 去除 首先,你得把大马代码解密出来,关于抓包不要本地测试,找台服务器,注释删除些代码来测试,常见后门关键字 geturl hmlogin等。。

    2.4K11

    关于黑产暗链的分析与看法

    黑链主要分为前端劫持与服务端劫持前端劫持一般通过JS进行跳转劫持,也有时候会直接通过修改页面内容来进行服务端劫持,也称为后端劫持,一般通过修改asp,jsp,php来进行劫持跳转,一般劫持的脚本页面为conn.php...图4 黑链跳转网站 2.2事件原因分析 通过事情的表现,初步判断应该是存在一个劫持跳转的黑链文件,因此先用D盾扫描一下恶意文件,看是否存在恶意后门脚本,为避免将黑链删除后,攻击者立马重新上传,通过D盾扫描...,发现两个后门文件 ?...图7 大马后门 2018-10-24 23:45:16时刻被攻击者上传了一句话木马。...可以与菜刀等黑客工具配合使用,之后紧接着在23:52:21时刻又上传大马文件,为了更好的持续性攻击网站,因此,基本上可以确定攻击者思维,通过文件上传或者远程命令执行之类的漏洞,先上传一句话木马,后上传大马

    2K20

    揭露某些所谓大佬不为人知的另一面

    大概就是首先大马作者,将大马源码先使用 gzcompress 函数压缩,然后再 base64_encode 函数编码。...很明显的后门收信代码,base64 解密试试。 ? 不多说看图 ? 还有 ?...这样,别人就轻轻松松拿到你的 webshell,然后还好的是,我访问 http://qyvc.com/ 这个后门网站的时候。 网站显示404 ? 站长工具查了下。网站已经挂了。 ?...总结 天下从来没有免费的晚餐,有时你在某些 QQ 群文件看到什么过某狗免杀 waf 的时候,你想想,这等好事轮的到你,多半有后门,所以各位小伙伴们在使用菜刀啊,大马之类的,要小心点哦。...声明 我并不是指文章中的给表哥 Damian 免杀大马的大佬是这个大马的作者,很明显,这是后门狗做的,常见后门狗网站 www.mumaasp.com webshell8.com 其他小伙伴还知道的 可以留言下

    83000

    记一次简单上传到提权实战案例

    C、D、E盘都可以直接访问,并且还能跨站,在C:\RECYCLER\上传了一个cmd.exe,但在执行命令时都显示超时了,还是得传个大马试试。...服务器不支持PHP脚本,在上传/新建asp、asa、cer、cdx、txt、asp;.jpg、asp;jpg等扩展文件时都显示写入失败:Write to file failed.。...当我跨到了同服另一个站,随手传了个ASP发现居然可以上传了,但访问是404,吭爹阿!...成功上传了ASP大马,系统基本信息的获取方式就不写了,服务器打了585个补丁,算挺多的了,上传几个我常用的提权EXP上去执行看下,最后用了一个名为temp.txt的提权EXP成功添加了一个saga管理员账户...-listen 51 1234 目标机器执行: "c:\recycler\lcx.exe" -slave VPS 51 127.0.0.1 3389 2013-09-30:管理员上线删马了,留了几个后门

    1.1K30

    Asp.Net刷新上传并裁剪头像

    开发网站几乎都做过上传图片并截图,做个刷新Asp.Net上传并截图示例 实现功能: 1.选择文件,自动上传并生成缩放图(上传带进度条),形成预览图 2.在预览区,实现鼠标拖拽截图区,截取图片(示例截图区按缩放图小边为截图正方形长度...---------------------------------------------------------------------------- 第一步:准备工作,认识一些必要的东西  1.刷新上传借助于... <asp...string session_param_name = "ASPSESSID"; string session_cookie_name = "ASP.NET_SessionId...   3.确实,运行页面    如果用VS10转化,在IIS里布暑点击保存出来error    那有两种可能    1.连接池framework的版本你还是没选对    2,ISAPI和GCI限制里asp.net4.0

    3.5K70

    实战|应急响应之某公司的粗心导致网站被恶意篡改

    的管理员重置脚本,config.php、buak.php、lower.php、pig.php、need.php均为大马后门文件。...回到网站文件目录查看file_manage_view.php文件,好家伙这是一个管理后台的文件管理编辑器,攻击者是直接在后台添加生成了个大马后门文件啊这是。...下面看看其他的后门文件是如何被上传的,依据时间顺序搜索buak.php后门文件看得出是通过config.php上传的。...只剩下pig.php和need.php两个后门文件了,在经过一轮的筛选need.php是app.php文件上传的,而pig.php后门文件并未筛查出,只有一种可能是攻击者上传后将原来的后门文件重命名成了...radminpass.php密码重置脚本,并在8:22分修改了管理员admin账号的密码并且登录了后台,在8:24分时访问了后台file_manage_view.php文件管理编辑器上传了config.php的大马后门文件

    1.8K30
    领券