网络安全原理与应用：任意文件上传攻击演示.pptx

第7章 Web应用安全任意文件上传攻击演示目标要求Objectives了解任意文件上传攻击的基本流程；掌握在DVWA平台下任意文件上传攻击的基本方法；任意文件上传攻击演示一、任意文件上传漏洞的利用思路1、使用passthru() 函数来构建具有执行外部命令恶意代码的PHP文件，例：cmd.php2、将恶意代码上传到目标服务器，并显示出上传之后的路径和文件名例：../../hackable/uploads/cmd.php3、通过浏览器URL执行恶意代码的页面，例：05/master/vulnerabilities/upload/../../hackable/uploads/cmd.php?cmd=ls //函数执行 //执行命令 ”; ?> //文件读取并显示’; ?> //执行命令并显示任意文件上传攻击演