环境:搭建的OWASP靶机
攻击方式:使用一句话木马进行文件上传攻击
此处将等级设置为中等
直接提交一句话木马发现并不能正常提交
所以打开kali,并将kali的IP地址与主机进行代理,打开kali的burp-suite将端口进行关联,
此处的cotent-type显示为八进制数据,需要将其改为二进制数据的图片格式
二进制格式为:image/jepg
然后回到主机中,可以发现,已经显示木马文件上传成功。
附:一句话木马的源代码:<?php @eval($-POST['cmd']);?>
进入内网后可以使用菜刀或者蚁剑进行本地提权,删除数据库等操作。