漏洞演示,利用burpsuite抓包改包上传

漏洞演示,利用burpsuite抓包改包上传

入侵渗透hacker2016-04-11 9:33:4111474A+A-

Burp suite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burpsuite详情请点击:超简单利用burpsuite爆破wordpress后台密码

本文演示的是动网6.0上传漏洞,首先在本地部署iis环境,叉叉这里在虚拟机搭建iis6的测试环境,虚拟机的IP地址是192.168.121.128

漏洞演示,利用burpsuite抓包改包上传 第1张

漏洞演示,利用burpsuite抓包改包上传 第2张

叉叉这里用的是孤狗浏览器,先设置一下代理:

漏洞演示,利用burpsuite抓包改包上传 第3张

运行Burpsuite,点击Proxy标签,设置端口为8080,如果端口打开失败,可能的原因是有程序占用了该端口,点击edit,在local listener port:输入框输入一个未占用的端口,点击update即可

漏洞演示,利用burpsuite抓包改包上传 第4张

进入上传页面:http://192.168.121.128/upload.asp,选择我们的asp图片马,点击上传,burpsuite成功拦截上传数据:

漏洞演示,利用burpsuite抓包改包上传 第5张

右键,sent to repeater,或者直接ctrl+R

漏洞演示,利用burpsuite抓包改包上传 第6张

漏洞演示,利用burpsuite抓包改包上传 第7张

修改拦截下来的数据,在“filepath”下的 “/”下面加上xx.asp;

漏洞演示,利用burpsuite抓包改包上传 第8张

更改为漏洞演示,利用burpsuite抓包改包上传 第9张

点击Go,得到上传后的地址/xx.asp;201362123211948915.jpg

漏洞演示,利用burpsuite抓包改包上传 第10张

咱们来验证一下,浏览器打开http://192.168.121.128/xx.asp;201362123211948915.jpg

漏洞演示,利用burpsuite抓包改包上传 第11张

上传成功,用菜刀连接

漏洞演示,利用burpsuite抓包改包上传 第12张


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 南殷不矜2022-05-28 18:08:03
  • .asp,选择我们的asp图片马,点击上传,burpsuite成功拦截上传数据:右键,sent to repeater,或者直接ctrl+R修改拦截下来的数据,在“filepath”下的 “/”下面加上xx.asp;更改为点击Go,得到上传后的地址/xx.asp;2013621232119489
  • 蓝殇花桑2022-05-28 13:07:20
  • ter,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burps
  • 晴枙千仐2022-05-28 16:06:02
  • rpsuite,点击Proxy标签,设置端口为8080,如果端口打开失败,可能的原因是有程序占用了该端口,点击edit,在local listener port:输入框输入一个未占用的端口,点击upda
  • 可难眉妩2022-05-28 21:53:11
  • 途,给专业和非专业的Web渗透测试人员的测试工作带来了极大的便利.burpsuite详情请点击:超简单利用burpsuite爆破wordpress后台密码本文演示的是动网6.0上传漏洞,首先在本地部署iis环境,叉叉这里在虚拟机搭建iis6的测试环境,虚拟

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理