在线练习靶场
http://www.vulnspy.com/dvwa/damn_vulnerable_web_application_(dvwa)/
先看看帮助描述
大概就是能上传一些脚本文件到服务器执行。
看看界面吧
low级别的代码
没有做任何限制,那我随便选个文件试试咯
传上去了
随便选了个
看看medium级别
限制了name、type和size
找个php文件上传试试吧
先找个截图的png,上传抓包看看
抓包
那就改了filename和上传的内容和type吧。不过还是得留几行开头,不然类型判断不会认为是图片类型
成功上传了
去主机看了看,可惜没有执行权限啊
high级别代码
还是刚才的方式
传上去了
impossible代码
感觉跟我想象好像不太一样,找个答案看看好了
http://www.freebuf.com/articles/web/119467.html
嗯。。还用到了文件包含漏洞,而且好像直接就能执行了的样子?不过总之就是把一句话木马放在图片里传上去就成功了。
网友评论