连接需要登录的WebShell

写在前面

鸽了两个多月没分享什么东西,今天刚好看到 GitHub 上面有人遇到了,觉得不错,特意来分享一下。主要是提问的者的提问方式令人愉悦 :D

正篇(预计读完需要 1分钟)

问题 #107:

在 AntSword 中尝试使用http://xxx.xxx.xxx.xxx/dvwa/vulnerabilities/fi/?page=file:///var/www/html/dvwa/hackable/uploads/xxx.php.png连接,无法连接。

手工测试该 URL POST 提交后页面成功显示 phpinfo() 的信息。

测试机环境

操作系统版本:macOS Mojave 10.14.2

安装 AntSword 版本:中国蚁剑 v2.0.2

服务器环境

kali linux:Linux kali 4.17.0-kali3-amd64 #1 SMP Debian 4.17.17-1kali1 (2018-08-21) x86_64 GNU/Linux

php版本:7.2.9

dvwa 版本:Version 1.10Development(dvwa about 里给出的,不知道对不对,于2018年12月1x日从官方网站下载)

附手工图片:

下面是回答 #107:

DVWA 的环境是需要登录状态的,在未登录的状态下,直接访问是会302跳转到 Login 界面,所以导致连接不成功。可以直接把已经登录的 Cookie 信息在编辑 Shell 配置添加到 Header 头里,这样就 OK 了。

比如这样:

当然,也可以使用更方便的办法: 使用AntSword 「浏览网站」功能

首先添加完 Shell.

鼠标右键点击刚刚添加完的 Shell,选择 「浏览网站」

在浏览网站界面里,占击「浏览」按钮,会弹出一个网页,像下面这样:

在打开的网页里面输入账号和密码,登录,并设置好 DVWA 的 Secirity 等级之后,就可以关闭弹出的窗口了。

浏览网页界面里面已经帮你动态获取到了 Cookie 信息,然后点击「保存」按钮。

愉快的访问 Shell 吧。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181220G1C6R000?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券