安全狗文件绕过

上传绕过WAF的一些常用方法

0X01姿势总结

(1)fuzz文件名后缀方法用burpsuite进行模糊测试,寻找黑名单之外的文件
(2)windows系统可以进行后缀修改如:webshell.php……………..
(3)路径绕过:有些WAF只会监视某个目录是否被上传webshell
(4)大小写组合如:PhP,pHp
(5)filename换行
(6)多个filename
(7)引号绕过如:双单,双无,单单,单双,单无
(8)空格添加法
(9)分号法
(10)删除content-type
(11)header中添加任意字符
(12)删除form-data
(13)双后缀名绕过

0x02示例过安全狗

安全狗4.0

(1)filename换行

(2)filename多=号

(3)多分号

(4)修改文件后缀

(5)多单引号

安全狗3.5

(1)删除form-data
(2)删除Content-Type: image/jpeg
(3)单双引号
将filename=”loadfile1.php”改为filename=loadfile1.php;
(4)CoNtent-Disposition加空格或者加1
(5)CoNtent-Disposition大小写
(6)

posted @ 2019-08-24 21:52  iwhattt  阅读(684)  评论(0编辑  收藏  举报