实验环境:
目标靶机:OWASP_Broken_Web_Apps_VM_1
下载地址:
https://sourceforge.net/projects/owaspbwa/files/1.2/OWASP_Broken_Web_Apps_VM_1.2.zip/download
image.png
测试渗透机:Kali-Linux-2018.2-vm-amd64
下载地址:
https://images.offensive-security.com/virtual-images/kali-linux-2018.2-vm-amd64.zip
实验原理
image.png
实验过程
实验一:
低安全模式下,可上传任意类型的文件,限制大小
查看靶机IP
image.png
浏览器输入靶机IP
image.png
点击
image.png
登录
image.png
修改安全级别
image.png
image.png
上传
image.png
image.png
image.png
实验二
在中安全模式下,绕过类型上传文件【文件mime类型】
image.png
image.png
image.png
这是要用到kali 虚拟机中的一个软件BURPSUITE
image.png
image.png
image.png
image.png
image.png
image.png
image.png
端口8080 允许所有ip
打开浏览器(谷歌)--设置--代理设置--局域网设置--
image.png
IP为kali虚拟机的 端口8080
image.png
上传
image.png
回到kali虚拟机的burpsuite 查看拦截内容
QQ截图20190306204920.png
修改类型,发送
QQ截图20190306205122.png
QQ截图20190306205448.png
上传完成!!!
未完待续。。。
