在线练习靶场
http://www.vulnspy.com/dvwa/damn_vulnerable_web_application_(dvwa)/
先看看帮助描述
大概就是能上传一些脚本文件到服务器执行。
看看界面吧
low级别的代码
没有做任何限制,那我随便选个文件试试咯
传上去了
随便选了个
看看medium级别
限制了name、type和size
找个php文件上传试试吧
先找个截图的png,上传抓包看看
抓包
那就改了filename和上传的内容和type吧。不过还是得留几行开头,不然类型判断不会认为是图片类型
成功上传了
去主机看了看,可惜没有执行权限啊
high级别代码
还是刚才的方式
传上去了
impossible代码
感觉跟我想象好像不太一样,找个答案看看好了
http://www.freebuf.com/articles/web/119467.html
嗯。。还用到了文件包含漏洞,而且好像直接就能执行了的样子?不过总之就是把一句话木马放在图片里传上去就成功了。
作者:doctordc
链接:https://www.jianshu.com/p/2142e91ba676
点击查看更多内容
为 TA 点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦