1. PHP基础 ①eval(字符串)函数:把字符串按照PHP代码执行,该字符串必须是合法的PHP代码,且以分号结尾: ②assert()函数:如果参数是字符串,它将会被assert()当做PHP代码来执行,跟eval()类似: ③system()函数,执行外部程序,并且显示输出: ④exec()函 ...
分类:
Web程序 时间:
2019-10-06 16:30:36
阅读次数:
139
中国菜刀的由来: 说起菜刀,就不得不提起菜刀的作者,作者是一个退伍军人,生长在一个贫穷的农村,据说初中也没读完,英语更是不咋地,但他却自学掌握了C++/J2ME/PHP/JSP/ASP.NET等等十数种计算机语言,当初在六七年前台湾闹独立的时候,他在国民党和民进党的网站上留下了“只有一个中国”的黑页 ...
分类:
其他好文 时间:
2019-08-31 21:34:03
阅读次数:
549
这里的中国菜刀不是指切菜做饭的工具,而是中国安全圈内使用非常广泛的一款Webshell管理工具,想买菜刀请出门左拐东门菜市场王铁匠处。中国菜刀用途十分广泛,支持多种语言,小巧实用,据说是一位中国军人退伍之后的作品。日前,国外安全公司Fireeye对这款工具进行了详细的剖析,可以说是一部非常nice的 ...
分类:
Web程序 时间:
2019-02-27 16:15:13
阅读次数:
280
解压之后得到了一个流量包,只有不到10KB,美滋滋 先抓重点,过滤出http,只有6条数据记录,3条post,3条response,3条post都是一样的 随便打开一条pos 是一个assert断言,断言内容是一串base64加密的字符串(最后的%3D先解码为=) 得到了一串php代码 就是说打印一 ...
分类:
其他好文 时间:
2019-02-04 12:50:34
阅读次数:
309
php经典一句话: <?php echo shell_exec($_GET['cmd']);?> 中国菜刀:官网:www.maicaidao.co原理:上传一句话(<?php @eval($_POST['我是密码']);?>)至服务器端,再用中国菜刀客户端(图形化界面)去连接服务器 webacoo( ...
分类:
Web程序 时间:
2019-02-02 15:47:49
阅读次数:
174
漏洞排查思路: 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了! 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN、中国菜刀上传. 2.注入漏洞 字符过滤不严造成的 3.暴库: ...
分类:
Web程序 时间:
2018-11-07 00:45:16
阅读次数:
219
前言:在上周是我国的网络安全宣传周,从2014年的第一届举行,网络安全就越来越重要,我们作为软件的开发者,对网络安全的维护有着不可推卸的责任,今天我们就来了解下网络安全。 本节课程为网络安全基础知识,重点为:信息收集(google hack)=》webshell了解(中国菜刀),学完本课程,你将对信 ...
分类:
其他好文 时间:
2018-10-22 20:28:06
阅读次数:
292
XISE WBMS V23.8整合更新功能如下:·生成内页修复生成内页内核,加速生成效率。·生成内页支持新闻采集模式,可选本地新闻或远程新闻。·生成内页支持防删功能。·生成内页支持批量操作,可数千shell不间断生成。·生成内页支持保存结果功能,结果保存为“\xise\备份\”。·生成内页支持强制跳 ...
分类:
其他好文 时间:
2018-09-24 23:16:06
阅读次数:
765
下载请认准官方网站:http://www.maicaidao.com/ 不过现在官方已经打不开了,很多朋友找不到下载地址,所以现在放出来,有需要的朋友可以自行下载! 下载地址:https://www.lanzous.com/i1xg3ib 软件简介: 软件名称:中国菜刀(China chopper) ...
分类:
其他好文 时间:
2018-09-24 22:19:07
阅读次数:
201
下载请认准官方网站:http://www.maicaidao.com/ 不过现在官方已经打不开了,很多朋友找不到下载地址,所以现在放出来,有需要的朋友可以自行下载! 下载地址:https://www.lanzous.com/i1xg3gj 软件简介: 软件名称:中国菜刀(China chopper) ...
分类:
其他好文 时间:
2018-09-24 22:14:52
阅读次数:
202