做之前没想过有这么难
0x01:后缀绕过首先看一下waf咋工作的,当数据包匹配到waf规则后,数据包就会被丢弃掉,就像这样
waf是拦截后缀的,首先fuzz一波换行
失败
多个等于号
失败
单双引号替换
失败去掉引号
失败
溢出Content-Disposition字段
失败,而且不清楚是因为服务器性能原因还是规则有这个,当此字段太长的时候(具体多长不清楚),正常上传图片数据包也会被丢弃。
1、多本网络安全系列电子书(该有的都有了)2、全套工具包(最全中文版,想用哪个用哪个)3、份src源码技术文档(项目学习不停,实践得真知)4、网络安全基础入门、Linux、web安全、攻防方面的视频(最新版)5、网络安全学习路线(告别不入流的学习)6、ctf夺旗赛解析(题目解析实战操作)
多个Content-Disposition字段
失败畸形协议
失败boundary前加减空格
失败,而且操作这边服务器会不识别上传,导致正常文件传不上去
删除Content-Type:image/jpeg
失败溢出文件名
失败,而且这里也有限制,太长也会导致正常上传失效。Accept-Encoding:Accept-Encoding:gzipAccept-Encoding: