目录中国菜刀蚁剑菜刀和蚁剑的一句话木马的流量都有一个特点，都没有加密的，使用wireshark抓包来分析。中国菜刀中国菜刀是一款经典的webshell管理工具，具有文件管理、数据库管理、虚拟终端等功能。这里以菜刀2016为例。在服务器准备php一句话木马：<?php@eval($_POST['pass']);?>

0x01原理这里先给大家介绍一句话木马和菜刀的工作原理，了解的可以往下面翻一句话木马先说说一句话木马的原理<?phpeval($_POST['c']);?>先说说eval()这个函数简单点说，eval()这个函数会把参数当作代码来执行什么叫做把参数当作代码来执行，简单举个例子<?phpphpinfo();?>

1.冰蝎流量特征：Accept有自己专属的流量特征，查看content-Length长度。对上传参数base64进行解码，再代码末端再次解码。可看上传流量具体操作。再response也可查看揭秘参数后的流量 2.哥斯拉流量特征：content-Length：数据包长度达万个Cookie流量包后面存在分号；  3.菜刀

Cknife是一款基于Python的渗tou测试工具，主要用于绕过Web应用程序中的安全防护机制，例如安全狗、360、云锁等。它可以通过自定义参数配置，生成各种不同的绕狗脚本，从而达到绕过安全防护的目的。Cknife具有使用简单、功能强大、支持多种编程语言等特点，是渗tou测试人员必备的工具之一。ck

题解题目是一个666666.pcapng文件，通过题目提示，知道这个是菜刀的流量分析，选择过滤语法http.request.method==POST随机追踪一段http流，简单分析这个估计是上传的木马文件在D:/wamp64/www/upload目录下，有shell文件1.php，flag.txt，还有一个hello.zip，继续往下翻，并没有更多特别

下载文件，是pcapng流量包，打开总共也就33个包，可以http筛选，关键流量包在最后这里默认是这样的调整一下就出来了连flag值都没变~~前面的几个包也可以看下中间部分是base64编码，大致是读目录列表操作，后面有返回目录列表，看结构应该是windows的后面还有个http请求返回包这

rce漏洞：利用代码或者命令去执行常见的一句话木马：1、普通一句话：123<?php@eval($_POST[123456]);?>*post后面中括号里面的内容是使用菜刀或蚁剑连接时的密码2、防爆破一句话：1234<?phpsubstr(md5($_REQUEST['x']),28)=='6862'&&eval($_REQU

文件上传漏洞原理1、文件上传(FileUpload)是大部分web应用都具备的功能，例如用户上传附件、修改头像、分享图片/视频等2、正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回3、如果恶意文件如PHP、ASP等执行文件绕过Web应用,并顺

下载得到一个流量包根据题目菜刀666，与菜刀有关，一般都是post连接，于是我们过滤post数据http.request.method==POST在tcp.streameq7中发现了大量数据右键追踪TCP流，看

第一步就是要先找到目标网站的后台，方法不止一种选择自己了解熟悉的即可我这里用的是kali的sqlmap找到目标网站的后台新建一个caidao.php文件,里面内容为将这个文件上传到

过滤http  POST为命令流量，加密为base64,action为指令，z1为文件或者目录，服务器回包为明文，可以通过回包查看内容  找到flag目录    查看了6666.jpg  

为啥一把菜刀就要五六百？​——细节保证品质说到德国刀具，大家可能都会想到双立人但三叉（Wüsthof）这个牌子据说在欧洲比双立人更有地位三叉的全部产品只在德国生产一套刀具卖到

PHP一句话：1、普通一句话：<?php@eval($_POST[123456]);?>*post后面中括号里面的内容是使用菜刀或蚁剑连接时的密码2、防爆破一句话：<?phpsubstr(md5($_REQUEST['x'