当前位置：网站首页>基於DVWA的文件上傳漏洞測試

基於DVWA的文件上傳漏洞測試

2022-07-06 01:07:00 【wishLifeJumP】

DVWA Security的“low”級別可以直接上傳“一句話”木馬。

1.1 編寫測試木馬

<?php
phpinfo();
?>

1.2 沒有後綴過濾直接上傳

1.3回顯上傳路徑，直接訪問即可

http://localhost/dvwa/hackable/uploads/info.php

Medium級別不同於Low級別，Medium界別對前端做了上傳限制，通過繞過檢測機制，抓包更改後綴名達到上傳效果。

2.1 上傳合法文件，此時打開代理

2.2 待抓到數據包後，send to repeater

info.png 改為info.php

響應碼為200說明書上傳成功。

2.3 執行php脚本

https://localhost/dvwa/hackable/uploads/info.php

版权声明
本文为[wishLifeJumP]所创，转载请带上原文链接，感谢
https://yzsam.com/2022/187/202207060105165854.html