kali下Burpsuite对网站后台注入php木马

先给kali浏览器设置代理
后面输入你的端口号

打开后，先关闭拦截
因为i我们只要拦截重要的就行了

接下来打开浏览器
访问我们搭建的网站
这时在点击开始拦截就可以了

右键空白
send to repeater 送往中继器
因为中继器是可以改包的

然后你切换到Burp的中继器
你就在刚才那个界面上找，肯定能找到repeaterCHR是加密的，防止别查杀
%0a和%0d是回车和换行的，ASCII码

eval函数可以把一段字符串当作php代码运行
常用于黑客

一般杀毒软件过滤eval函数
CHR可以对eval函数进行加密

然后命令行进行查看被注入代码文件的内容