low:
可以查看viwe Source : 最後的地址在 http://localhost/DVWA/hackable/uploads/1.php
查看源碼發現沒有做過濾下面看下:
Medium :
變更了等級後再來上傳之前的php看看會發生什麼。
發現報錯需要圖片類型的才ok。
拿出神起burp 來進行抓包看下。
這裏我們上傳的還是一個php文件
修改過後點擊forward
把上傳的文件類型修改image 成功繞過
High:
直接上傳圖片木馬:
2個文件在同一個目錄,打開cmd ,輸入 copy 1.jpg/b+1.php 2.jpg # 圖片木馬製作方法