尝试fuzz测试文件上传靶场的黑名单

已于 2023-11-21 11:36:43 修改
阅读量446 收藏
点赞数
文章标签: 笔记
于 2023-11-20 19:38:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68836415/article/details/134515153
版权

1,开启靶场

2,抓包

随便上传个什么用bp抓包

上传文件

显示只让上传jpg.jpeg.png的文件

报文发送给intruder

3,准备爆破

爆破模式选择:sniper

add$选中后缀

在payloads栏中,加载后缀词典

我自己写了点进去,字典太费时间了

4,开始爆破

字符长度只有这三个和其他的长度差距很大

所以这个文件上传漏洞应该没有黑名单(

lalalalala1a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
fuzz-hardening:强化黑盒二进制文件的进化技术
07-01
总结来说,fuzz-hardening是一种用于提升二进制文件安全性的技术,它通过自动化的方法优化代码,使之在面对模糊测试时更加健壮,从而降低被攻击的风险。这一技术结合了静态分析、代码变异、反馈学习等手段,为软件...
api-fuzz:python restful api模糊测试
02-05
快速开始将curl请求体放进request.txt文件中,执行命令python IntelliFuzzTest_cli.py request.txt特色支持请求身体体变异支持请求url path变异随机增删请求标头支持发布/获取/删除/放入方法可以直接根据curl命令...
fuzz.txt:潜在危险文件
02-28
fuzz.txt 没有什么比临时的更永久
Fuzz安全测试技术
05-08
Fuzz安全测试技术
cargo-fuzz:用于模糊测试的命令行助手
02-05
这将生成一个 fuzz 目录,其中包含 fuzz 目标和模糊测试配置文件。 在 fuzz 目录下,你可以定义模糊测试的目标函数,这个函数应该接受模糊测试生成的输入数据,并进行相应的处理。例如,如果你正在测试一个解析器,...
微信小程序开发笔记之”表单读不出数据“解决指南
qq_46396470的博客
07-12 314
脑瓜子好了后,忘记了表单控件必须要加上。提交后打印的字典是空的,卡了十几分钟。
mysql笔记1
m0_62975692的博客
07-11 380
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
算法刷题笔记 KMP字符串(C++实现,并给出了求next数组的独家简单理解方式)
hanmo22357的博客
07-12 797
一道经典且较难的算法题,给出了C++代码实现,以及自己对next数组求解的独家简单的理解方式。
OpenGL笔记十一之Uniform变量及实现一个颜色忽明忽暗的三角形
最新发布
小勇博客
07-14 289
— 2024-07-14 上午。
Linux笔记之shell终端命令后显示指定行数的grep和head
小勇博客
07-14 455
在Linux中,grep命令和head命令常用于文本处理。grep命令用于搜索文本中的特定模式,而head命令用于显示文件的开头部分。了解如何结合这两个命令(例如使用管道)可以帮助你更高效地处理和查看文本数据。grep -A选项用于在匹配到的行之后显示指定数量的行。例如,将显示匹配到的行及其后面的三行。选项用于显示文件的前n行。例如,将显示file.txt的前五行。
Redis学习笔记(个人向)
ozawacai的博客
07-12 635
从个人使用角度总结了我对Redis的理解
java Web学习笔记(二)
qq_62678419的博客
07-10 801
1. Ajax响应请求方式概述 2. 前端工程化概述 3. ES6语法详解 4. nodejs和npm软件安装及其命令行使用
C++学习笔记
qq_45882170的博客
07-09 1022
默认参数值只能在函数声明中指定,而不能在函数定义中指定。如果同时有声明和定义,并且两者都试图为同一个参数指定默认值,这会导致编译错误。
Matlab学习笔记(个人向)
ozawacai的博客
07-10 894
关于Matlab的学习笔记,较为完整地叙述和说明了Matlab的各种用法。但是想要熟练使用,还是多看官方的文档吧。
base SAS programming学习笔记12(do loop)
ddjdd1234的博客
07-12 289
当使用point来指定行数读取的时候,需要使用stop避免结束读入数据的指针而引起连续读入该行数据,由于STOP会停止执行DATA步则不会将PDV的数据输出至输出数据集,因此需要加上OUTPUT来输出数据,将OUTPUT放入循环中则每次循环的数据都输出,如果放至循环外则只有最后一行数据输出。在上述程序中earned由于链接的是“+”,因此值都是保留到下一行,到第12月份仍然在执行循环,该循环完毕后month增至13,此时终止循环,因此输出的month=13;所以do until循环至少循环一次;
OpenStack Yoga版安装笔记(六)glance练习
zkyqss的博客
07-12 1691
Glance api处理来自用户端(OpenStackClient等)的请求,如果是读写镜像元数据,则对glance db进行读写操作,因为镜像元数据都保存在glance db里面;如果是存取镜像本身,则对后端存储进行操作,因为镜像保存在后端存储里。同时,用户端、glance servcie都需要到keystone进行身份认证。需要注意的是,验证后的授权不在keystone这里处理,而是交给被访问的service处理。
电力需求预测挑战赛笔记 Taks1 跑通baseline
wang_8218的博客
07-12 239
赛事链接:https://challenge.xfyun.cn/h5/detail?
Sentinel 学习笔记
王珂的专栏
07-11 652
本文介绍微服务组件Sentinel的主要功能,环境搭建和组件使用。其中涉及到相关的一些基础概念,也对其进行的解释以便对组件的理解和使用。 同时,介绍了在实际工作中使用Sentinel常用的步骤和操作。希望通过本文对你快速理解和上手使用Sentinel提供帮助。
【unity笔记】常见问题收集
王尼莫的博客
07-11 235
参考官方文档,GI(Global Illumination) data 指的是全局照明信息。在Unity的Edit->Preference中,可以编辑GI缓存路径和分配GI缓存大小。
什么是接口fuzz测试
06-09
接口fuzz测试是一种测试方法,用于检测应用程序或系统接口中的漏洞和错误。它通过自动化的方式向接口发送大量的随机数据和非法输入,来测试系统的鲁棒性和安全性。接口fuzz测试可以帮助发现许多常见的漏洞,例如缓冲...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值