脏数据绕过waf,Yakit爆破base64编码密码,ssh无密码登录受害主机
waf、Yakit、ssh 技巧
waf 脏数据绕过
以pikachu靶场的文件上传功能为例
上传一个木马图片
显示已拦截。
找到form-data;字段加一个分号,中间写一些脏数据,前提是不能打乱数据包的原有数据结构。
Yakit 工具
对明文密码通过base64编码的格式进行爆破
账号明文密码在互联网上进行传输,属于低危漏洞,抓到包以后能对其进行爆破。
客户对其做的防护一般有两种:1.编码;2.加密。
现在说一下客户对其编码的问题,客户在前端做了一个base64加密�
