一:物理机的火狐浏览器使用kali的burpsuite代理操作靶机的dvwa
登录VM中kali,打开brupsuite
使用默认配置,点next,
点击start burp
配置options
完成,然后先取消拦截
查看kali的ip
火狐设置代理:菜单-选项-网络设置
打开靶机 root:owaspbwa
火狐进入dvwa
默认账号admin:admin
二:分析验证漏洞
等级low
查看源码,未作任何限制
上传小马
小马内容:post中的a为菜刀的链接密码
删掉地址栏的#,加上小马的地址
访问发现是空白页,未报错,说明上传成功
打开中国菜刀-右键-添加,
成功连接!!!
等级设置为中等
再次查看源码
发现有对文件上传类型作限制
继续上传小马发现失败
打开burpsuite,添加拦截
继续上传小马,左上角显示等待中
回到burp,
更改类型,然后转发
火狐提示上传成功
关掉拦截,
最后菜刀成功连上!
难度设置为高
查看源码发现限制更多
只有通过配合文件包含漏洞验证。
好饿~~~ 回家吃饭!!!