BurpSuite抓包改包上传

http://sec.chinabyte.com/464/12671464.shtml


Burp suite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burpsuite详情请点击:超简单利用burpsuite爆破wordpress后台密码

  本文演示的是动网6.0上传漏洞,首先在本地部署iis环境,叉叉这里在虚拟机搭建iis6的测试环境,虚拟机的IP地址是192.168.121.128

ScreenClip

ScreenClip [2]

  叉叉这里用的是孤狗浏览器,先设置一下代理:

ScreenClip [3]

  运行Burpsuite,点击Proxy标签,设置端口为8080,如果端口打开失败,可能的原因是有程序占用了该端口,点击edit,在local listener port:输入框输入一个未占用的端口,点击update即可

ScreenClip [4]

  进入上传页面:http://192.168.121.128/upload.asp,选择我们的asp图片马,点击上传,burpsuite成功拦截上传数据:

ScreenClip [5]

  右键,sent to repeater,或者直接ctrl+R

ScreenClip [7]

ScreenClip [6]

  修改拦截下来的数据,在“filepath”下的 “/”下面加上xx.asp;

ScreenClip [8]

  更改为ScreenClip [9]

  点击Go,得到上传后的地址/xx.asp;201362123211948915.jpg

ScreenClip [10]

  咱们来验证一下,浏览器打开http://192.168.121.128/xx.asp;201362123211948915.jpg

ScreenClip [11]

  上传成功,用菜刀连接

ScreenClip [12]


  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值