西西木科技-专业的shopify liquid开发机构-前端JS丨react后端丨API接口丨shopify plus丨外贸独立站
有图片、有木马,但菜刀无法连接。 你绝望了吗? 别怕,今天我来教你。
我们先看一下源码。 过关的方法也是要求我们上传图片马。 。 。
那我不得不说外贸建站,图片马不仅仅是木马图片和菜刀。 还需要一个漏洞,称为文件包含漏洞。 。 .这个漏洞的原理是什么?
1:准备图马
需要 DOS 命令
重击
copy 001.jpeg/b + test.php/a 2.jpg这条指令的意思是将001.jpeg和test.php合并在一起。显然test.php是webshell
然后是test.php中的代码
PHP
显然,那个yuer就是我们的webshell密码。 您可以将其更改为您需要的内容。 。 。
然后打开CMD并切换到指定目录。 合成前没有2.jpg。
好吧,再来一张2.jpg……这就是图马。
二:准备我们的文件以包含漏洞
该文件包含有漏洞的php文件include.php,代码如下
PHP
这是最简单的文件包含漏洞代码,因此该漏洞必须内置到服务器中。 也就是说,如果你要攻击的网站不存在文件包含漏洞,则无法使用镜像木马。
简单来说,文件包含漏洞就是需要在这个include.php中引用其他应用程序。 php中的应用程序文件是.php。 也就是说,他本来是想引用一个php文件,但是漏洞是他不认识php是什么。 只要文件被他引用了,就会被解析为PHP怎么做图片网站怎么做图片网站;关于马图片的正确使用,所以如果他引用了一个jpg,但是这个jpg里面有图片马,那么就相当于引用了图片马。 同理,还会有拉链马等。
存在文件包含漏洞的文件在这里。
三:上传图片马
马图片上传成功
然后我们就可以正常访问这张图片了。 因为我在本地搭建了服务器,所以我知道路径在哪里。
可以看到图片非常正常,根本没有木马。
好的,让我们再次使用文件包含来访问该图像。 文件include.php在根目录下,然后。
四:菜刀链接
这一步比较经典。 您必须使用图片连接包含漏洞的链接。
然后怎么做图片网站shopify模板,单击“添加”。 。 。 然后右键单击文件管理。 。 。
成功获取webshell
西西木科技是shopify官方合作伙伴,通过了Shopify Partner Academy认证,具备多年shopify lic主题开发经验,熟悉Liquid和各项计算机语言。