#3 Уязвимость DVWA — File Upload (Уровень Low).
Здравствуйте, дорогие друзья. Продолжаем рассматривать уязвимости DVWA, и сегодня остановимся на загрузке файлов с низкими настройками безопасности.
Суть этой уязвимости заключается в том, чтобы «залить» php-шелл на сервер, и после этого проэксплуатировать его.
Перейдем к практике, и выставим настройки безопасности на уровень «low»:
![настройки безопасности dvwa на уровень low](https://timcore.ru/wp-content/uploads/2021/04/screenshot_1-23-1024x615.png)
Переходим на вкладку «Upload»:
![file upload](https://timcore.ru/wp-content/uploads/2021/04/screenshot_2-23.png)
Далее нам нужно приготовить наш шелл с кодом html, для последующей наглядности работы в качестве демонстрации возможностей. Код выглядит как:
![shell.php code](https://timcore.ru/wp-content/uploads/2021/04/screenshot_3-23.png)
Сохраняем его как «Shell.php»:
![shell.php](https://timcore.ru/wp-content/uploads/2021/04/screenshot_4-23.png)
Следующим шагом загружаем файл на сервер:
![загрузка шелла на сервер](https://timcore.ru/wp-content/uploads/2021/04/screenshot_5-21.png)
Осталось запустить наш код на веб-сайте. Для этого копируем путь до шелла. Он выглядит как «/hackable/uploads/Shell.php», и вставляем его в адресную строку URL и жмем Enter:
![/hackable/uploads/Shell.php](https://timcore.ru/wp-content/uploads/2021/04/screenshot_6-21-1024x559.png)
Итак, шелл был выполнен, о чем нас оповещает запись на странице.