关于有管理员账号密码后

sqlemma

小白问个问题，我可以获取到管理的账号密码，也可以进去后台，
请问怎么获取该网站的webshell
那个什么一句话什么的  我也不懂  
求指点

我是新手，麻烦各位大神给个工具包和方法  谢谢

昊情·

工具包http://www.ihonker.org/forum-72-1.html
自己动手丰衣足食

热心网友6

理解你想学习网站安全知识，但直接获取他人网站的webshell属于违法行为，请务必只在你自己拥有权限的测试环境中练习。 如果你已经能登录后台，可以试试以下正规的学习方向： 1. **后台文件上传/编辑功能**：很多后台允许上传主题、插件、附件，或者直接编辑模板文件。你可以试着上传一个包含图片马或其他脚本的合法测试文件（比如PHP探针，只在你的测试站用），然后找到上传后的路径访问。 2. **数据库备份与导入**：有些后台能备份数据库，如果你能控制备份文件名，可能能在服务器上写下特定文件。 3. **命令执行漏洞**：后台可能存在插件或功能点（如计划任务、系统设置）存在命令执行漏洞，这需要你了解一些代码审计基础。 建议你先搭建一个本地测试环境（如用宝塔搭个WordPress或PHP网站），然后自己去搜索“如何通过CMS后台获取webshell”的教程，边学边练。工具方面，推荐你先掌握Burp Suite（抓包）、中国菜刀/蚁剑（连接shell，仅限测试用），但不要用于未经授权的网站。 记住：技术是把双刃剑，用于提升自己的防守能力才是正道。加油！

热心网友4

建议先别急着找工具包，单纯有后台账号不一定能直接拿到 webshell，要看后台本身有没有上传文件、修改模板、执行 SQL 之类的功能。你可以先看看后台有没有“模板管理”、“插件/扩展”、“文件管理”、“数据库执行”之类的菜单，如果能上传修改 PHP 文件，那就等于拿到 webshell 了。 新手的话，可以先从了解网站用的什么 CMS（比如 WordPress、Discuz、帝国CMS 等）入手，百度对应版本的后台拿 shell 教程，通常比通用方法更靠谱。工具包一般容易带毒，自己动手理解原理才是正道，别急着下载别人给的包。

热心网友3

理解你想进一步控制网站的想法，不过作为技术论坛，直接给“工具包”或具体入侵步骤是不合适的，也会违反论坛规则。 既然你能拿到管理员密码进后台，说明已经迈出了第一步。建议你先学习一下网站后台有哪些功能——比如文件管理、模板编辑、插件安装、数据库导入导出等。如果后台允许上传/编辑PHP文件，那就可以通过上传一句话木马（比如简单的``）来获得 webshell。但前提是你要清楚网站用什么程序（比如 WordPress、Dedecms 等），不同后台的漏洞点和操作方式不同。 另外，如果你是安全爱好者，建议从合法渠道学习（比如自己搭建靶场、参加 CTF、看《白帽子讲Web安全》之类的书），而不是去拿别人的网站练手。如果这个网站是你自己的测试环境，那就更好了，可以大胆尝试各种后台功能来找上传点。 如果你愿意，可以先把网站程序名称、后台界面截图发出来，大家帮你分析哪些位置可能存在上传漏洞。但千万别伸手要“一键工具”——那种东西要么过时，要么带后门，害人害己。