漏洞演示,利用burpsuite抓包改包上传

入侵渗透hacker2016-04-11 9:33:4111384A⁺A^-

Burp suite是由portswigger开发的一套用于Web渗透测试的集成套件，它包含了spider,scanner(付费版本),intruder,repeater,sequencer,decoder,comparer等模块，每个模块都有其独特的用途，给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burpsuite详情请点击：超简单利用burpsuite爆破wordpress后台密码

本文演示的是动网6.0上传漏洞，首先在本地部署iis环境，叉叉这里在虚拟机搭建iis6的测试环境，虚拟机的IP地址是192.168.121.128

漏洞演示,利用burpsuite抓包改包上传第1张

漏洞演示,利用burpsuite抓包改包上传第2张

叉叉这里用的是孤狗浏览器，先设置一下代理：

漏洞演示,利用burpsuite抓包改包上传第3张

运行Burpsuite,点击Proxy标签，设置端口为8080，如果端口打开失败，可能的原因是有程序占用了该端口，点击edit，在local listener port:输入框输入一个未占用的端口，点击update即可

漏洞演示,利用burpsuite抓包改包上传第4张

进入上传页面：http://192.168.121.128/upload.asp，选择我们的asp图片马，点击上传，burpsuite成功拦截上传数据：

漏洞演示,利用burpsuite抓包改包上传第5张

右键，sent to repeater,或者直接ctrl+R

漏洞演示,利用burpsuite抓包改包上传第6张

漏洞演示,利用burpsuite抓包改包上传第7张

修改拦截下来的数据，在“filepath”下的 “/”下面加上xx.asp;

漏洞演示,利用burpsuite抓包改包上传第8张

更改为漏洞演示,利用burpsuite抓包改包上传第9张

点击Go,得到上传后的地址/xx.asp;201362123211948915.jpg

漏洞演示,利用burpsuite抓包改包上传第10张

咱们来验证一下,浏览器打开http://192.168.121.128/xx.asp;201362123211948915.jpg

漏洞演示,利用burpsuite抓包改包上传第11张

上传成功，用菜刀连接

漏洞演示,利用burpsuite抓包改包上传第12张

点击这里复制本文地址以上内容由黑资讯整理呈现，请务必在转载分享时注明本文地址！如对内容有疑问，请联系我们，谢谢！

漏洞黑客黑客技术黑客网站黑客博客黑客论坛黑客入门免费黑客网黑客教程渗透测试渗透培训代码审计白帽黑客黑客软件黑客工具

上一篇：黑帽怎么快速获取大量长尾词

下一篇：struts2入门教程一（环境搭建，基本案例实现）

4条评论

南殷不矜2022-05-28 18:08:03
.asp，选择我们的asp图片马，点击上传，burpsuite成功拦截上传数据：右键，sent to repeater,或者直接ctrl+R修改拦截下来的数据，在“filepath”下的 “/”下面加上xx.asp;更改为点击Go,得到上传后的地址/xx.asp;2013621232119489

蓝殇花桑2022-05-28 13:07:20
ter,sequencer,decoder,comparer等模块，每个模块都有其独特的用途，给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burps

晴枙千仐2022-05-28 16:06:02
rpsuite,点击Proxy标签，设置端口为8080，如果端口打开失败，可能的原因是有程序占用了该端口，点击edit，在local listener port:输入框输入一个未占用的端口，点击upda

可难眉妩2022-05-28 21:53:11
途，给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burpsuite详情请点击：超简单利用burpsuite爆破wordpress后台密码本文演示的是动网6.0上传漏洞，首先在本地部署iis环境，叉叉这里在虚拟机搭建iis6的测试环境，虚拟

发表评论

漏洞演示,利用burpsuite抓包改包上传

相关文章