文件上传漏洞是指用户上传可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
上传漏洞原因在于代码作者没有对访客提交的数据进行校验或者过滤不严格,使上传的文件可以是木马、病毒、恶意脚本等等。
本次实验我使用的环境为DVWA、Burpsuite、java_x64_8.0.1520.16。
LOW级别
1.先编辑一个一句话简单的webshell脚本
新建记事本,输入以下代码
此段php语句表示用get方式获取cmd的参数
编程完成保存后把文件后缀名改为.php使它成为一个php文件
2.打开DVWA的LOW级别下的File Upload窗口