DVWA文件上传漏洞
Low
测试后发现 上传 .php .jpg .图片木马等均可上传成功
查看源码
可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。
如果上传成功,则会提示 路径+succesfully uploaded! 如果上传失败,则会提示 Your image was not uploaded。
写一句话木马上传,可以看到上传成功
此时则可使用菜刀进行连接。
Medium
上传php文件时显示 仅能上传jpeg和png格式
查看源码验证是对文件大小及类型进行了限制
方法一:使用bp修改文件类型