日志八

DVWA

File inclusion

LOW

  • 一种本地文件,直接在磁盘里创建一个文件page=路径
  • 另一种用远程文件url,PHP study重启一下服务,刷新一下网页,page=http://www. (网页路径)

Medium级别

  • 做了一些过滤
    $file = str_replace( array( “http://”, “https://” ), “”, $file );
    $file = str_replace( array( “…/”, “…”" ), “”, $file );

  • 使用双写成功绕过,hthttp://tp://

High级别

  • 做了一个匹配,前缀必须是file
  • file协议是读取本地文件的一个协议
  • 只能执行本地的文件包含

Impossible级别

  • 固定格式,较安全
  • file1.php

所有级别《DVWA File inclusion(文件包含)-超详细》

File upload

LOW级别

  • 没有对任何文件进行验证,所以直接上传PHP
  • 创建一个.php的文件
  • 加入一句话木马 ,列如:<?php POST['123']); ?>,并上传
  • 用中国蚁剑,填写相关数据
  • 地址也是连接的url,网站路径加上文件的本地路径
  • 密码是[]里面的,列:123
  • 点击测试,连接成功

Medium级别

  • 对文件的后缀名进行验证,所以将后缀名改成符合要求的格式,JPG或PNG,大小小于100000字节的文件才能上传
  • 在burp中上传后缀名为png的一句话木马文件,点击上传
  • 看到burp抓到的包修改为.php
  • 然后点击forward发送
  • 然后使用中国蚁剑

High级别

  • 防范iis 6.0 文件解析漏洞,为了绕过限制提交,无论最后的.jpg前面有多少,只验证最后的.jpg

所有级别《DVWA-文件上传全等级绕过(一句话木马+中国菜刀+蚁剑)》

渗透测试-DVWA介绍相关推荐

  1. 1.渗透测试学习——介绍

    渗透测试介绍 安全问题的根源 分层思想的优劣 网络.软件开发分层好处是把大的复杂的问题简化,层与层之间制定标准接口,通过接口完成信息的交换,最后整个系统可以正常工作. 只追求功能实现 最大的安全威胁是 ...

  2. 自动化渗透测试工具介绍

    一. 渗透测试"三板斧" 1.信息搜集--全面了解系统 网络信息:DNS IP 端口 服务器信息:操作系统 版本 服务 中间件 :版本 WEB系统信息:使用技术 部署系统 数据库 ...

  3. 常用的渗透测试工具介绍

    渗透测试涵盖了广泛的内容,所以渗透测试工具也是多种多样的.渗透测试工具可根据不同的功能分为以下四类: (1)网络渗透测试工具. 如其名称所示,网络渗透测试工具是一种可以测试连接到网络的主机/系统的工具 ...

  4. 渗透测试RECON-NG介绍

    工具介绍: 全特性的web侦察框架 基于python开发 Web信息搜索框架 命令格式与msf一致 基于python开发 使用方法 模块 数据库 报告 全局选项 UESR-AGENT(用户信息) Pr ...

  5. 【愚公系列】2023年05月 网络安全高级班 077.Kali LinuxMetasploit渗透测试(Metasploit介绍)

    文章目录 一.Metasploit介绍 1.什么是Metasploit 2.Metasploit的组成 3.Metasploit的基本使用流程 二.基本渗透测试流程 1.攻击流程 2.渗透测试工具介绍 ...

  6. 渗透测试实战指南笔记

    第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache.Nginx.MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包. 首先,下载需要的安装包 ...

  7. Web安全防攻(渗透测试)

    第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache.Nginx.MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包. 首先,下载需要的安装包 ...

  8. owasp top10 渗透测试

    本期内容 1.了解什么是渗透测试 2.常见漏洞有哪写 3.练习测试 目录 一.渗透测试 1.介绍 1.什么是 OWASP TOP 10 二.常见漏洞 的攻击方式 原因 和影响 A1 注入漏洞 攻击方式 ...

  9. 渗透测试 ( 3 ) --- Metasploit Framework ( MSF )

    白嫖 :https://zhuanlan.zhihu.com/p/449836479 :http://t.zoukankan.com/hxlinux-p-15787814.html :https:// ...

最新文章

  1. 兰大博士神论文: 我和同门亲师妹是如何走到一起的?
  2. java中类/对象的初始化顺序以及静态代码块的使用
  3. 中国小品演员都要卷舌?
  4. K8S-网络模型、POD/RC/SVC YAML 语法官方文档
  5. .NET Core 的过去、现在和未来
  6. CodeForces 841B (B) 博弈
  7. mysql查找无根节点sql_SQL 双亲节点查找所有子节点的实现方法
  8. Uber如何使用Mesos的?答曰:和Cassandra一起用
  9. eclipse的自动检查语法错误功能让我有点烦,能不能关掉,或者,只是10秒检查一次。。...
  10. Maya2018基础(二)展UV
  11. 程序员女朋友都是在哪找的
  12. 100多个免费API接口分享 调用完全不限次数,以后总用得着
  13. F1 Delta Time 大奖赛每日挑战赛开启
  14. Vue和React的区别到底是什么?
  15. 暴雪将终止与网易合作:《魔兽世界》面临在大陆暂停服务
  16. siliconc8051f Silicon C8051F编程器使用出错解决办法
  17. 运行时数据区-堆(Heap)
  18. 美国国防高级研究计划局(DARPA)组织管理运行机制分析
  19. MySQL学习笔记——基础语句
  20. python 列表操作模块_Python:使用模块laspy的列表理解问题

热门文章

  1. Themleaf中html向controller传递参数 th:onclick传参
  2. RTOS 系统篇-看门狗 WatchDog[不喂狗就咬你]
  3. 《地理信息系统导论》chapter 6 几何变换 习作
  4. 【Python】找到含有指定关键词的PDF
  5. bzoj3252攻略(线段树+dfs序)
  6. 【实操篇】如何通过吾来平台提升机器人的对话体验?
  7. Linux VI文本编辑器
  8. 表格的一些常用样式以及属性
  9. FPGA实现深度学习系列之卷积神经网络算法描述
  10. 实用教学Prompt 提示词实战:如何用 ChatGPT 指导高考语文作文写作