有些网站我们在拿shell的时候，会要用到上传文件，但是有的时候都会有过滤，如果只是上传.asp .php结尾的文件的话系统是不会给你上传的，那么这个时候我们通常会利用一些其他的思路，比如说iis6中的解析漏洞，把一句话放到图片里面，写成1.asp;.jpg 1.asp;.jpg的格式上传上去，这样上传的时候文件会被检测为是图片，上传成功之后会将这个文件当asp来解析

 

图片马是WEB渗透测试时的必备，今天就教大家怎么做图片马。非常简单

 

图片马指的是代码写入后不破坏图片为前提,图片仍可正常打开。 

 

先准备好图片和asp文件。

 

 

将图片以文本方式打开，如图

 

不管里面的内容有多少，只保留前面三行（因为jpg，png的头保存在前三行，若删除则无法被识别成图片文件）

，其他内容删掉。直接将一句话木马附上去，如图。因为如果.jpg文件内容过长的话会影响到木马的内容。

然后保存，成功制作。

 

现在我们再来讲一下菜刀的使用

首先将一个很重要的问题，现在网上的菜刀本身是会报毒的，拿一个尽可能干净的菜刀，放入一个文件夹中，这个文件夹提前添加信任，防止误杀。另外自己制作的一句话木马有时候也会被自己的系统给杀掉，所以所有的操作全部放在信任文件夹下进行，正是应为这个问题才导致我们有很大一部分学生出现了，在菜刀使用过程中出现的一些报错。

打开菜刀，会有三条默认链接，可以直接删除

如何添加我们的一句话？

在菜刀界面空白处右键选择添加

在添加shell页面写入上传的一句话的地址、密码、配置信息、shell类别等，添加完之后就可以连接了