4.1.2 漏洞利用

非法用戶可以利用上傳的惡意腳本文件控制整個網站，甚至服務器。這個惡意的腳本文件，又被稱為WebShell，是以 ASP、PHP、JSP等網頁設計語言編寫的網頁腳本，通常也叫作網頁后門。攻擊者在入侵了一個網站后，常會將WebShell上傳到網站的目錄下或者插入正常的網頁中，然后使用瀏覽器或者對應的WebShell客戶端來訪問這些后門，將會得到一個命令執行的環境，以達到控制網站服務器的目的。

各個腳本語言經典的WebShell如下。

4.1.2.1 ASP

密碼為x的asp一句話木馬：

4.1.2.2 ASPX

密碼為x的aspx一句話木馬：

4.1.2.3 PHP

密碼為x的php一句話木馬：

4.1.2.4 JSP Cmdshell

密碼為x的jsp cmdshell木馬，通過i傳遞要執行的命令，使用的時候只需要傳遞？pwd=x＆i=id即可執行id命令：