#原创分享#DVWA-文件上传

迟来的文件上传~仅供参考学习哈~~~

文件上传

文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤，而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，“文件上传”本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果

1、 登录DVWA，文件上传模块

2、 上传一句话木马；
利用文件上传漏洞，往目标网站中上传一句话木马，然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录。@表示后面即使执行错误，也不报错。eval（）函数表示括号内的语句字符串什么的全都当做代码执行。$_POST['attack']表示从页面中获得attack这个参数值。

3、 别过滤了提示需要后缀为JPEG、PNG；遇事不要慌~~~~

此时利用图片一句话，“图片一句话”则是将一句话木马插入在图片文件中，而且并不损坏图片文件，这一方法可以躲过少许的防火墙检测。制作图片一句话木马的方法非常多，目前已经有安全研究人员设计出了专业的制作软件：Edjpgcom。Edjpgcom的使用方法非常简单：把一张正常的图片拖到Edjpgcom.exe程序中，填写相应的一句话代码，就可以制作图片一句话木马。

在插入一句话木马之后，以文本的方式打开图片，就可以看到一句话木马代码就在里面，而且不影响图片正常预览。

1） 找到一张小图片

2） 一个是一句话木马，一个是正常图片；利用cmd插入图片

3） 重新上传图片一句话木马

4、 访问上传提示的路径证明已经上传成功

5、 利用中国菜刀进行连接

6、 直接访问成功，就可以对网站根目录进行一些操作~提权等等等~~~~~大家脑补~~~

谢谢~~~~

感谢楼主分享，非常nice，每一个步骤都详细解释，清晰明了，就喜欢你这种能告诉别人怎么做，还同时告诉别人为什么这么做的牛人，期待更多分享哦

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=113795

学习到了。楼主写的很详细，有条理性。

感谢分享

感谢分享

写的确实不错，已赞

感谢楼主分享，楼主非常详细的介绍了

希望多一下这样的帖子，谢谢楼主分享。

感谢分享