WebShell文件上传漏洞.3

释放双眼,带上耳机,听听看~!


实验一:安装OWASP测试环境,在其中的DVWA里实现一句话木马的上传。并用Kail Linux中的自带的webshell工具weevely连接后门,获取服务器权限。
开放式Web应用程序安全项目(Open Web Application Security Project,OWASP)是世界上最知名的Web安全与数据库安全研究组织,该组织分别在2007年、2010年和2013年统计过十大Web安全漏洞。我们基于OWASP发布的开源虚拟镜像“OWASP Broken Web Applications VM”来演示如何利用文件上传漏洞。

通过用户名user密码user登录,将网页左下端的DVWA Security设置为Low。然后选择Upload,如下:

然后,打开Kali Linux终端,输入命令weevely,可以看到基本的使用方法。效果如下:

按照提示的使用方法,输入命令weevely generate pass shell.php 来生成一句话木马shell.php,连接密码是pass。执行效果如下:

回到上传页面点击Browse按钮,将我们生成的文件shell.php进行上传。效果如下:

可以看到文件上传成功,并且页面回显出我们上传文件的路径。
打开终端,使用命令weevely http://192.168.209.136/dvwa/hackable/uploads/shell.php pass连接后门。
拿到服务器权限。这个时候就相当于ssh远程连接了服务器,可以任意命令执行了,效果如下:

连接成功后如上图例所示,执行ls命令,可以看到当前目录下的文件,其中就有我们上传的shell.php。

人已赞赏
脚本代码运维安全

WebShell文件上传漏洞.2

2020-6-13 17:56:36

网络工具脚本代码运维安全

如何1分钟内对 Linux 性能快速分析

2020-6-15 4:00:22

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索