基于文件上传漏洞获得网站 shell 权限

一、实战-基于 DVWA 的 low 级别演示文件上传漏洞

 

1、文件上传漏洞简介

File Upload，即文件上传漏洞，通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的 webshell 权限，因此文件上传漏洞带来的危害常常是毁灭性的，Apache、Tomcat、Nginx 等都曝出过文件上传漏洞。

实验环境：本节实验环境以：Win7 下的 chrome 浏览器和 burp suite 为主。

2、上传木马文件

新建webshell.php，写入一句话木马：

打开 DVWA，选择低安全级别，然后选择File Upload,上传webshell.php

Web 站点查看文件上传的位置，根据提示是在../../hackable/uploads/webshell.php

打开