攻击机器:kali系统(虚拟机运行)
攻击工具机器:burp suite抓包该包工具
靶机:dvwa
浏览器:火狐浏览器
安全等级调成中等,简单的不玩,直接中等级别
kali打开火狐浏览器,找到设置
ip
ip改成127.0.0.1,端口改成8080
显示intercept is on就行,如果是off点一下就行了,就说明代理已经开始监听浏览器的发包情况了
kali火狐打开dvwa这个网站,当然ip就是你安装phpstudy的那个电脑的ip地址,自己用控制台ifconfig查一下自己的ip就行。进入网站后点击上传shell.php(一句话木马),点击上传,网站就卡住了,这时候打开burp suite,把content-type改成image/jpeg就可以了,然后点击forworad发送,就发现文件上传成功了。最后用中国菜刀一连接,就能看到整台服务器的硬盘内容了
当然如果想拿window做上传文件测试,可以拿kali的burpsuite当中间件当代理,只需要把window的火狐浏览器的代理设置成kali机的ip,kali机的ip直接用kali终端输入ip a,就可以看到ip了,
window火狐添加代理
然后设置kali的burpsuite设置
这样设置一下,window的火狐就可以用kali的burpsuite了,但是我的window不知道设置完,浏览器直接访问不了,不知道为啥,希望有大佬能解答下
网友评论