文件上传漏洞原理

实验环境:

目标靶机:OWASP_Broken_Web_Apps_VM_1
下载地址:

https://sourceforge.net/projects/owaspbwa/files/1.2/OWASP_Broken_Web_Apps_VM_1.2.zip/download
image.png

测试渗透机:Kali-Linux-2018.2-vm-amd64
下载地址:

https://images.offensive-security.com/virtual-images/kali-linux-2018.2-vm-amd64.zip

实验原理

image.png

实验过程

实验一:

低安全模式下,可上传任意类型的文件,限制大小

查看靶机IP


image.png

浏览器输入靶机IP


image.png

点击


image.png

登录


image.png

修改安全级别


image.png

image.png

上传


image.png
image.png
image.png
实验二

在中安全模式下,绕过类型上传文件【文件mime类型】

image.png
image.png
image.png

这是要用到kali 虚拟机中的一个软件BURPSUITE


image.png
image.png
image.png
image.png
image.png
image.png
image.png

端口8080 允许所有ip

打开浏览器(谷歌)--设置--代理设置--局域网设置--


image.png

IP为kali虚拟机的 端口8080

image.png

上传


image.png

回到kali虚拟机的burpsuite 查看拦截内容


QQ截图20190306204920.png

修改类型,发送


QQ截图20190306205122.png
QQ截图20190306205448.png

上传完成!!!

未完待续。。。

你可能感兴趣的:(文件上传漏洞原理)