本文导读目录:
网络攻防平台有哪些
网络攻防平台一般以国外居多,例如:
DVWA: Damn Vulerable Web Application
DVWA-WooYun(乌云靶场)
Metasploitable
OWASP Broken Web Applications Project
XCTF_OJ 练习平台
PentesterLab 练习环境
PWNABLE.KR
dvwa怎么查看low等级代码
在DVWA中选择Upload,首先分析low级别的代码:
首先站点通过upload参数以POST方式来接收被上传的文件,然后指定文件上传路径为“网站根目录/hackable/uploads”,文件上传到网站之后的名字仍沿用原先的名字。
接下来利用$_FILES变量来获取上传文件的各种信息。$_FILES变量与$_GET、$_POST类似,它专门用于获取上传文件的各种信息。
“$_FILES['uploaded']['name']”,用于获取客户端文件的原名称,
“$_FILES['uploaded']['tmp_name']”, 用于获取文件被上传后在服务端储存的临时文件名。
语句“move_uploaded_file($_FILES['uploaded']['tmp_name'], $target_path)”表示将上传后的文件移动到变量$target_path所指定的新位置,如果这个函数成功执行,则输出“succesfully uploaded!”,否则输出“Your image was not uploaded”。
可以看出,在low级别中,没有对上传的文件进行任何过滤,因而我们可以直接将php木马文件上传到服务器中。比如上传一个名为an75.php的webshell文件,文件上传之后的路径