low:
可以查看viwe Source : 最后的地址在 http://localhost/DVWA/hackable/uploads/1.php
查看源码发现没有做过滤下面看下:
Medium :
变更了等级后再来上传之前的php看看会发生什么。
发现报错需要图片类型的才ok。
拿出神起burp 来进行抓包看下。
这里我们上传的还是一个php文件
修改过后点击forward
把上传的文件类型修改image 成功绕过
High:
直接上传图片木马:
2个文件在同一个目录,打开cmd ,输入 copy 1.jpg/b+1.php 2.jpg # 图片木马制作方法