webshell
webshell介绍
- 网站后门权限,可对网站进行任意修改,为进一步提权做准备
后台密码爆破
爆破webshell密码
工具:
burpsuite
webshell密码爆破器
burpsuite爆破webshell密码:
设置完代理,打开burpsuite。打开网站中的webshell。
输入webshell密码,并抓包,在burpsuite中查看并,发送到intruder中
清楚除了pass之外的$字符,使以后每次爆破都只改变pass值
在payloads中导入字典,直接start attack
找出与其他密码length不同的密码,尝试输入,成功,即爆破出了webshell密码
短文件漏洞入侵DZ
利用条件: windows+apache环境
www.xxx.com/upload/data/backup_7edc67/190101_eQAJI5-1.sql 转换为:www.xxx.com/upload/data/backup~1/190101~1.sql