DVWA靶机实战-文件上传漏洞(二)

继续打靶机:当前靶机的安全级别:medium

 

第一步

 上传一句话木马,这次没有之前那么顺利了,文件显示上传失败,被过滤。

点开右下角view source查看源码:

只允许上传image/jpeg格式的文件

 

 

第二步

使用burpsuite拦截并改包

burpsuite需要安装jar包才能在windows运行,而kali中自带burpsuite

我使用的是windows环境的burp

 

先设置浏览器的代理,然后打开burp的拦截

 

选择一句话木马上传,显示已拦截到的包:

 

根据包内容更改文件类型,绕过过滤:

 

最后点击forward发送,浏览器显示上传成功

 

 

第三步

使用连接工具进入后台(这步省略):

 

posted @ 2020-02-04 18:33  ch0bits  阅读(378)  评论(0编辑  收藏  举报