dvwa文件上传漏洞测试2020-03-10

攻击机器：kali系统（虚拟机运行）

攻击工具机器：burp suite抓包该包工具

靶机：dvwa

浏览器：火狐浏览器

安全等级调成中等，简单的不玩，直接中等级别

kali打开火狐浏览器，找到设置

ip

ip改成127.0.0.1，端口改成8080

显示intercept is on就行，如果是off点一下就行了，就说明代理已经开始监听浏览器的发包情况了

kali火狐打开dvwa这个网站，当然ip就是你安装phpstudy的那个电脑的ip地址，自己用控制台ifconfig查一下自己的ip就行。进入网站后点击上传shell.php（一句话木马），点击上传，网站就卡住了，这时候打开burp suite，把content-type改成image/jpeg就可以了，然后点击forworad发送，就发现文件上传成功了。最后用中国菜刀一连接，就能看到整台服务器的硬盘内容了

当然如果想拿window做上传文件测试，可以拿kali的burpsuite当中间件当代理，只需要把window的火狐浏览器的代理设置成kali机的ip，kali机的ip直接用kali终端输入ip a，就可以看到ip了，

window火狐添加代理

然后设置kali的burpsuite设置

这样设置一下，window的火狐就可以用kali的burpsuite了，但是我的window不知道设置完，浏览器直接访问不了，不知道为啥，希望有大佬能解答下