中国菜刀WEB版
前几天在GitHub看到了一个中国菜刀WEB版,觉得挺有趣的(๑•̀ㅂ•́)و✧然后自己尝试搭建了一下,但是根据我在社交媒体上的观察,这个WEB版存在XSS漏洞,所以没办法搭在公网,只能在本地环境试一试了
安装
从该Github地址clone源码到本地
git clone https://github.com/MoLeft/WebKnife.git
使用宝塔一键建站,将源码直接上传即可
![bt]( "bt")
使用
- 打开dvwa,使用上传模块,上传php文件,发现漏洞存在
![dvwa]( "dvwa")
- 上传一句话木马
![one_word]( "one_word")
- 在连接管理中输入文件上传的网址和密码
![link]( "link")
- 点击文件管理,选择刚才输入的连接,即可进行文件管理
![file]( "file")
![file1]( "file1")
- 点击虚拟终端,选择连接,即可进行命令执行
![cmd]( "cmd")
![cmd1]( "cmd1")
- 在终端中执行
whoami命令
![whoami]( "whoami")
《中国菜刀WEB版》链接:https://xdym11235.com/archives/36.html
具体版权规定详见侧栏版权说明页面
数据都是直接存在cookie里面的,所以就没做过滤,有xss怕啥
作者好@(你懂的)