DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的web漏洞如sql注入,xss,密码破解等常见漏洞。另外,DVWA 还可以手动调整靶机源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。
搭建DVWA环境,从GitHub上下载。
环境 :PHPStudy
将DVWA 解压后放入www文件夹中
练习文件上传:
主要有:
前端js验证
后台MIME类型绕过
IIS6.0目录路径检测解析绕过
Apache解析缺陷绕过
空字节截断目录路径检测绕过(.php .jpg 所在行20改为00截断)
文件内容检测绕过
htaccess文件上传解析等
https://www.freebuf.com/articles/web/119467.html该文章中包含DVWA中不同级别服务器端源码以及不同等级下如何绕过