kali实施文件上传漏洞攻击:

news/2024/12/20 2:13:34/

3.1 问题

  1. 1)DVWA搭建在Win2008虚拟机(192.168.111.142)
  2. 2)在宿主机访问DVWA,DVWA级别分别设置Low、Medium
  3. 3)利用文件上传漏洞,使用kali(192.168.111.142)攻击

3.2 步骤

实现此案例需要按照如下步骤进行。

步骤一:DVWA级别设置Low

1)访问DVWA,选择Low级别,然后点击“File Upload”,如图-26所示

图-26

2)使用kali下的weevely来生成一个webshell,密码123456,如图-27所示

图-27

3)将shell.php复制到宿主机,上传shell.php,获得路径http://192.168.111.142/dvwa-master/hackable/uploads/shell.php,如图-28所示

图-28

4)使用weevely进行连接,已经是administrator,如图-29所示

图-29

5)添加用户,如图-30所示

图-30

步骤二:DVWA级别设置Medium

1)访问DVWA,选择Medium级别,然后点击“File Upload”,如图-31所示

图-31

2)火狐浏览器设置代理,启动Burp捕获数据,DVWA上传shell.php,如图-32所示

图-32

3)发送到Repeater模块,如图-33所示

图-33

4)在Repeater模块中查看,如图-34所示

图-34

5)修改文件类型为image/png,点击Go发送,Proxy中点击Forward,如图-35所示

图-35

6)上传成功,访问http://192.168.111.142/dvwa-master/hackable/uploads/查看,如图-36所示

图-36

接下来就可以使用weevely进行连接了。


http://www.ppmy.cn/news/583635.html

相关文章

永恒之蓝漏洞复现(ms17-010)

目录 前言 基本命令 ms17-010漏洞复现 漏洞介绍 影响版本 漏洞复现 前言 Metasploit Framework(MSF)是一款开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程&a…

2021-08-29 网安实验-Linux系统渗透测试之Metasploit攻击linux实例

一:扫描端口 nmap -sT -v 10.1.1.136 扫描漏洞主机开放端口信息,扫描结果如下: 其中6667号端口开放IRC服务,可以利用UnrealIRCD IRC软件的漏洞来攻击漏洞主机。 二:UnrealIRCd后门漏洞 1.输入msfconsole命令 2.运行“search unrealircd”命令 3.运行“use ex

使用kali系统中的nmap工具扫描漏洞

如何使用kali系统中的nmap工具扫描网站漏洞 1.我们打开kali在终端输入nmap可以看到nmap工具的所有参数如下图2.现在我们来使用nmap工具中的这个nmap www.xxx.com命令来扫描网站开了那些端口如下图如图我们知道了网站开了那些端口现在我们运行这个nmap -sv -p端口 --scriptvuln…

七、Kali Linux 2 渗透攻击

渗透攻击 如果把目标系统上的漏洞比作阿克琉斯的脚踵,那么漏洞渗透工具就是帕里斯手中的利箭。 在第6章中,我们介绍了如何使用远程控制工具,而在这一章中我们将会介绍如何将远程控制软件的被控端发送到目标主机上。而这个过程最为神奇的方法…

Kali常见攻击手段

Kali常见攻击手段 注意:仅用于教程和科普,切勿做违法之事,否则后果自负 1 网络攻击手段 请正确使用DDos和CC攻击,不要用来做违反当地法律法规的事情,否则后果自负 使用之前kali需要能够上网 参考:kali安装 1.1 DDos攻击 打开命令…

【愚公系列】2023年04月 文件上传渗透测试之绕过黑名单检查(::$DATA、点+空格+点)

文章目录 前言一、::$DATA绕过二、点+空格+点前言 文件上传漏洞是一种安全漏洞,指攻击者通过网站上传功能上传恶意文件来攻击网站的漏洞。攻击者可以通过利用这种漏洞上传恶意文件来执行代码和命令,进而控制网站、窃取敏感信息等。常见的文件上传漏洞主要存在于没有健全的文…

两万字带你认识黑客在kali中使用的工具

目录 前言一、信息收集工具二、脆弱性分析工具三、漏洞利用工具四、嗅探与欺骗工具五、密码攻击工具六、权限提升工具七、Web应用工具八、无线攻击工具九、硬件黑客工具十、维持访问工具十一、取证工具十二、逆向工程工具十三、压力测试工具十四、报告工具十五、kali Top10 工具…

【kali】一款黑客们都在使用的操作系统

💕💕💕 博主昵称:摆烂阳💕💕💕 🥰博主主页跳转链接 👩‍💻博主研究方向:web渗透测试 、python编程 📃 博主寄语:希望本篇文…