0
点赞
收藏
分享

微信扫一扫

dvwa靶场之文件上传

开源GIS定制化开发方案 2022-02-12 阅读 66

文件上传

指有一个漏洞可以让我们把我们的文件上传上去,通过这个漏洞我们可以上传一些木马

下面我们先分析一下low级别的源代码

第一个if确定我们的上传操作,之后$target_path函数确定我们上传文件的位置,获取我们文件的名字,如果没有移动文件到函数指定的位置则上传失败,否则上传成功

由于low级别没有进行任何的过滤所以我们可以随意上传

下面我们来看medium级别

这里他获取了我们上传文件的名字,类型,大小,如果我们上传的文件的类型不是jpeg,png并且我们上传的文件大小没有小于100kb则无法上传,符合要求后会移动文件,没有移动依然上传失败,成功移动后便会成功上传

我们可以通过burpsuite来进行绕过,在我们上传其他类型文件时将其包抓下来发给repeater,修改文件类型为image/png再发送即可绕过

 

 

下面我们来讲high级别

 这里是定义了一个白名单,用uploaded_ext函数获取你的拓展名,你的文件拓展名必须符合要求

举报

相关推荐

0 条评论