DVWA练习记录--文件上传漏洞

DVWA练习记录–文件上传漏洞

1.在记事本中写一句话木马并将其重命名为webshell.php

2.随便找一张jpg或者png格式的图片，放到与webshell.php同一目录下，在该目录打开cmd命令窗口，执行命令：

copy /b 桃花.jpg+webshell.php 1.jpg

注意这里加号前后的顺序不能变，一定是先图片后php，生成1.jpg上传

上传成功。

3.蚁剑添加数据，URL地址为上传文件成功得到的地址，密码是一句话木马中[’ ']里的内容。

测试连接发现失败。
4.这个时候考虑搭配文件包含漏洞组合攻击，

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file:///D:phpStudy/PHPTutorial/WWW/DVWA/hackable/uploads/1.jpg

利用该网址

发现有乱码，说明成功，蚁剑连接这里需要配置请求信息cookies

连接成功

附：参考视频