4.1.2 漏洞利用

非法用户可以利用上传的恶意脚本文件控制整个网站，甚至服务器。这个恶意的脚本文件，又被称为WebShell，是以 ASP、PHP、JSP等网页设计语言编写的网页脚本，通常也叫作网页后门。攻击者在入侵了一个网站后，常会将WebShell上传到网站的目录下或者插入正常的网页中，然后使用浏览器或者对应的WebShell客户端来访问这些后门，将会得到一个命令执行的环境，以达到控制网站服务器的目的。

各个脚本语言经典的WebShell如下。

4.1.2.1 ASP

密码为x的asp一句话木马：

4.1.2.2 ASPX

密码为x的aspx一句话木马：

4.1.2.3 PHP

密码为x的php一句话木马：

4.1.2.4 JSP Cmdshell

密码为x的jsp cmdshell木马，通过i传递要执行的命令，使用的时候只需要传递？pwd=x＆i=id即可执行id命令：