使用webshell工具对网站进行渗透测试

fly哥

已于 2023-02-06 12:50:25 修改

阅读量669

点赞数

文章标签： web安全网络安全

于 2023-02-04 10:30:38 首次发布

本文链接：https://blog.youkuaiyun.com/m0_71635484/article/details/128879274

版权

本文详细介绍了如何利用webshell工具如冰蝎和蚁剑对网站进行渗透测试。通过sql注入发现漏洞地址，上传hack.php文件，然后使用蚁剑创建并上传shell.php，最后通过冰蝎建立连接并进入后进行数据操作查看。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、目标网址http://43.138.211.45 webshell工具：冰蝎（环境：phpstudy+windows 10）、蚁剑

二、渗透准备。

sql注入。

①在渗透开始之前，先用命令sqlmap -u http://43.138.211.45/about.php?listid=8 --os-shell

②找到php下的custom location(自定义位置)，将文件目录路径设置为：/var/www/html，随后将找到的含有.php路径的地址便是所需的漏洞地址。

上传马。

①进入http://43.138.211.45/tmpubwcv.php，点击浏览，上传hack.php文件

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

fly哥

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

web渗透测试之代码审计

赤赤三的博客

03-21

3188

基本信息：原理：代码安全测试是从安全的角度对代码进行测试评估结合丰富的安全知识、编程经验、测试技术，利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷，在代码形成软件前将业务安全降到最低方式：人工+工具双重审核人工审核：既能解决内部问题也能解决外部问题，最有效率的解决方案，理论上人工审核最有效，但是效率不高，所以会采用自动化分析工具辅助人工的方式来提供效率静态分析工具：通过一组全面规则、测试机制和方针在软件开发过程、测试过

实战渗透-一次拿到webshell后艰难的提权

qq_29437513的博客

07-25

2210

记上一篇，拿到webhshell后，数据库是dba，本地上传一个cmd.exe组件上去后，执行失败网上很多说改路径，写的也写不明白，想到之前迪哥用过的大马提权，环境是php，但支持asp，有iis组件，发现 D://recycle可写，传一个cmd.com组件执行命令权限真的很小，是 nt service 网络用户权限，ns的权限是不能执行net的支持的组件，提权的时候用的找 ===================== 查看systeminfo，发现有200多个补丁，准备打溢出，目标机是可以

参与评论您还未登录，请先登录后发表或查看评论

渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析

qq_53058639的博客

03-17

2153

在测试过程中，我们经常会运到各种webshell管理工具，这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。?

渗透测试之Webshell

weixin_41715662的博客

07-02

2374

网络攻击中的Webshell攻击介绍

10款常见的webshell工具推荐！

oldboyedu1的博客

04-24

620

webshell是黑客经常使用的一种恶意脚本，攻击者在入侵网站时，通常会通过各种方式写入webshell，从而获得服务器的控制权限。中国菜刀是一款专业的网站管理软件，用途广泛，使用方便，小巧实用。UNICODE方式编译，支持多国语言输入显示。Altman3是一款渗透测试软件，基于.Net4.0开发，依托Eto.Form可以完美运行在Windows、Linux、Mac等多个平台。AntSword是一个开放源代码，跨平台的网站管理工具，旨在满足渗透测试人员以及具有权威或授权的安全研究人员以及网站管理员的需求。

php测试渗透工具,GitHub - cream-sec/pentest-tools: 渗透测试必备工具

weixin_32520565的博客

03-12

425

-渗透测试必备工具EXP编写框架及工具二进制EXP编写工具https://github.com/t00sh/rop-toolCTF Pwn 类题目脚本编写框架https://github.com/Gallopsled/pwntoolsan easy-to-use io library for pwning developmenthttps://github.com/zTrix/zio跨平台注入工具...

渗透测试工具+扫描+webshell管理工具

最新发布

04-24

‌AntSword（又称AntSword）是一款开源的跨平台WebShell管理工具，支持多种操作系统，包括Windows、macOS和Linux‌。其主要功能包括文件管理、虚拟终端和数据库管理，适用于渗透测试和网站管理。

Webshell工具使用指南：渗透测试的利器

此外，资源中还包含了一些靶场的使用，靶场是专门用于模拟攻击环境的平台或系统，它提供了一个安全的环境供学习者练习渗透测试和Webshell攻击，这对于新手学习Webshell的使用和理解攻击过程非常有帮助。压缩包中的...

渗透测试攻防webshell大合集.zip

07-26

超千个实战webshell： 138shell antSword antSword-shells AntSwordProject asp aspx b4tm4n-toolz Backdoor Dev Shells webshellpub等等，太多了，不一一列举了，需要的下载使用。

webshell渗透测试软件

08-10

网络安全与数据恢复相关工具，渗透测试软件

owasp php代码,phpvuln|查找PHP代码漏洞工具|OWASP渗透测试工具

weixin_42542420的博客

03-29

268

phpvuln是用Python 3编写的开源OWASP渗透测试工具，它可以加快在PHP代码中查找常见PHP漏洞的过程，例如命令注入,本地/远程文件包含和SQL注入。phpvuln安装方法您可以通过克隆Git存储库来下载phpvuln：git clone https://github.com/ecriminal/phpvuln.git切换目录cd phpvuln安装所需的PIP软件包：python ...

渗透入侵\海洋顶端PHP注射工具.zip

07-15

海洋顶端PHP注射工具

webshell连接工具冰蝎2.0，后面有三点零的，找一找再发

12-28

做渗透的，不支持恶意攻击

php网站渗透实战_记一次渗透实战 - Azeng呐的个人空间 - OSCHINA - 中文开源技术交流社区...

weixin_29192141的博客

01-12

337

点击蓝字关注我们目标：http://xxx.xx.xxx.xxx:9002/xxx/xxm/login.php访问目标此时此刻，拿出我们拿出好兄弟burp来抓包，看下响应包尝试枚举，看能不能碰到狗屎运跑中国人名字典，无结果，表示今天运气不行啊废话不多说继续！！！常规操作，对目标目录进行删减，发现了目录遍历的漏洞http://xxx.xx.xxx.xx:9002/xxxying...

从webshell开始的内网入侵

zhalang8324的博客

08-10

3282

一个关于内网入侵的小总结

实战渗透-一次曲折的拿webshell实战

qq_29437513的博客

07-25

806

几天前，逛论坛，看见某佬哥找了某个学校的sql注入点，，注入点在查询页面的url参数上，当时觉得很新奇，觉得这个注入点很奇特，后来想继续研究，谷歌找了找吧这个站找了出来这里为了安全，参数用 ?abc=cx代替，在cx’后报错，按原作者的意思，测出来过滤了逗号，联合查询 cx’ union select 1,2,3,4,5,6,7,8,9,10,11%23 成了1234567891011.。这里用join手法拼接注入， union select 1,2==union select from (s

HW后渗透经验总结

logic1001的博客

03-30

973

关于拿到webshell后的一些后渗透技巧：1：利用长亭牧云主机管理助手做权限维持优点：免杀，C2该有的都有，开机后自动重启缺点：对于windows主机有操作系统要求，不出网无法利用使用方法：liunx：登录平台运行命令就行windows:之后复制连接到浏览器下载exe安装对于这个windwos还有一个缺陷就是你运行后，必须要上桌面点ok才能上线从这里可以知道目前之支持如下操作系统，当然一般做权限也是用linux做，windows做的太少2：利用suo5注入内存马来达到代理稳定。

网络安全学习中，后渗透的详细步骤解析如何？

2301_76161259的博客

03-02

1236

渗透测试是什么？网络安全学习中，后渗透的详细步骤解析如何？后渗透的详细步骤解析当我们探测到了该网站存在漏洞之后，我们就要对该漏洞进行利用了。不同的漏洞有不同的利用工具，很多时候，通过一个漏洞我们很难拿到网站的webshell，我们往往需要结合几个漏洞来拿webshell。

Web安全和渗透测试有什么关系？

Python_0011的博客

03-31

2306

做渗透测试的一个环节就是测试web安全，需要明白漏洞产生原理，通过信息收集互联网暴露面，进行漏洞扫描，漏洞利用，必要时进行脚本自编写和手工测试，力求挖出目标存在的漏洞并提出整改建议，当然如果技术再精一些，还要学习内网渗透（工作组和域环境），白盒审计，app，小程序渗透那些了......可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。总之，web安全包含于渗透测试，但不是渗透测试的全部。