频道栏目
首页 > 安全 > 工具软件 > 正文

上传漏洞演示,利用burpsuite抓包改包上传

2013-07-19 08:31:58      个评论    来源:xxwanyi.com  
收藏   我要投稿
Burp suite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burpsuite详情请点击:超简单利用burpsuite爆破wordpress后台密码

本文演示的是动网6.0上传漏洞,首先在本地部署iis环境,叉叉这里在虚拟机搭建iis6的测试环境,虚拟机的IP地址是192.168.121.128

ScreenClip

ScreenClip [2]

叉叉这里用的是孤狗浏览器,先设置一下代理:

ScreenClip [3]

运行Burpsuite,点击Proxy标签,设置端口为8080,如果端口打开失败,可能的原因是有程序占用了该端口,点击edit,在local listener port:输入框输入一个未占用的端口,点击update即可

 

ScreenClip [4]

进入上传页面:http://192.168.121.128/upload.asp,选择我们的asp图片马,点击上传,burpsuite成功拦截上传数据:

ScreenClip [5]

右键,sent to repeater,或者直接ctrl+R

ScreenClip [7]

 

ScreenClip [6]

修改拦截下来的数据,在“filepath”下的 “/”下面加上xx.asp;

ScreenClip [8]更改为ScreenClip [9]

点击Go,得到上传后的地址/xx.asp;201362123211948915.jpg

ScreenClip [10]

咱们来验证一下,浏览器打开http://192.168.121.128/xx.asp;201362123211948915.jpg

ScreenClip [11]

上传成功,用菜刀连接

ScreenClip [12]

 

 

 

 

 

 

 

 


相关TAG标签 漏洞 包改包
上一篇:利用Sqlmap测试MetInfo企业网站管理系统MySql注入
下一篇:强大的Web管理软件,中国菜刀(chopper)的使用方法和教程
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站