DVWA靶机实战-文件上传漏洞(二)
继续打靶机:当前靶机的安全级别:medium
第一步
上传一句话木马,这次没有之前那么顺利了,文件显示上传失败,被过滤。
点开右下角view source查看源码:
只允许上传image/jpeg格式的文件
第二步
使用burpsuite拦截并改包
burpsuite需要安装jar包才能在windows运行,而kali中自带burpsuite
我使用的是windows环境的burp
先设置浏览器的代理,然后打开burp的拦截
选择一句话木马上传,显示已拦截到的包:
根据包内容更改文件类型,绕过过滤:
最后点击forward发送,浏览器显示上传成功
第三步
使用连接工具进入后台(这步省略):
[Sign]做不出ctf题的时候很痛苦,你只能眼睁睁看着其他人领先你