上传者: u011062044
|
上传时间: 2022-05-16 14:05:36
|
文件大小: 639KB
|
文件类型: PPTX
第7章 Web应用安全任意文件上传攻击演示目标要求Objectives了解任意文件上传攻击的基本流程;掌握在DVWA平台下任意文件上传攻击的基本方法;任意文件上传攻击演示一、任意文件上传漏洞的利用思路1、使用passthru() 函数来构建具有执行外部命令恶意代码的PHP文件,例:cmd.php2、将恶意代码上传到目标服务器,并显示出上传之后的路径和文件名例:../../hackable/uploads/cmd.php3、通过浏览器URL执行恶意代码的页面,例:05/master/vulnerabilities/upload/../../hackable/uploads/cmd.php?cmd=ls //函数执行 //执行命令 ”; ?> //文件读取并显示’; ?> //执行命令并显示任意文件上传攻击演