waf绕过系列
1212
Mamba start
.
展开
-
sqlmap的使用 ---- 自带绕过脚本tamper
sqlmap在默认的的情况下除了使用char()函数防止出现单引号,没有对注入的数据进行修改,还可以使用–tamper参数对数据做修改来绕过waf等设备。 0x01 命令如下 sqlmap -u [url] --tamper [模块名]1 sqlmap的绕过脚本在目录usr/share/golismero/tools/sqlma...转载 2020-09-27 07:54:14 · 714 阅读 · 0 评论 -
asp-Webshell免杀
随着时间的推移和其它新型动态网页技术的兴起,使用ASP(Active Server Page)技术构建的Web应用越来越少。ASP的衰落、旧资料和链接的失效、前辈们早期对ASP较多的研究,都导致了新型ASP网站后门和技术研究的减少。本篇文章主要梳理ASP一句话Webshell的构建和规避检测软件达到源文件免杀的思路。最终构建能够同时绕过以下表格中8个专业木马查杀工具和平台检测的Webshell,构造出零提示、无警告、无法被检测到的ASP一句话木马后门。编号名称参考链接1网站安全狗(.转载 2020-08-23 16:30:33 · 3392 阅读 · 0 评论 -
PHP-Webshell免杀研究
不想当将军的士兵不是好士兵,不想getshell的Hacker不是好Hacker~有时候我们在做攻防对抗时经常会碰到可以上传webshell的地方,但是经常会被安全狗、D盾、护卫神、云锁等安全软件查杀,在本篇文章中将会介绍一些常用的木马免杀技巧,主要针对安全狗、护卫神、D盾进行免杀~查杀软件D盾D盾是一个专门为IIS设计的主动防御的安全性保护软件,它采用以内外防护的方式防止服务器和网站被人入侵,它秉持在正常运行各类网站的情况下,越少的功能,服务器就越安全的理念而设。它具有一句话木马查杀、主动后门拦.转载 2020-08-23 16:28:41 · 793 阅读 · 0 评论 -
铭感文件目录_waf绕过
文章目录绕过特征和技术一. 特征:观察相应码和内容响应码内容二. 技术:延时绕过修改usergent绕过设置代理池绕过基于安全狗特征实验一.观察安全狗的拦截规则二.思考绕过思路小迪老师绕过脚本总结绕过特征和技术一. 特征:观察相应码和内容响应码请求正确或错误的文件和目录观察响应码是否有差异,是否相同根据差异或者相同写出相应绕过代码内容请求正确或错误的文件和目录观察响应内容是否有差异,是否相同根据差异或者相同写出相应绕过代码二. 技术:延时绕过很多WAF都有规则,如果在限制原创 2020-08-23 13:45:29 · 694 阅读 · 0 评论 -
上传_waf绕过
匹配规则根据其匹配规则,探测出到底匹配了那些内容主要以文件名前后缀,观察前缀是否没有过滤而过滤了后缀特性根据其本身的特性去绕过服务器特性操作系统特性脚本语言特性绕过安全狗上传文件前后缀绕过空格x.php%00.jpg编码绕过, %00使用burp url编码,使其匹配不到php。但是%00却仍在截断,从而剩下空格x.php,访问%20x.php即可思路匹配不到后缀为php,却可以执行php绕过演示首先测试文件名左边看是否匹配可以明显的看到左边安全狗也匹配..原创 2020-08-22 17:14:40 · 888 阅读 · 0 评论 -
xss_waf绕过
写在前面: —————————————————————————————————————————————————当你的才华还撑不起的野心时那你就应该静下心来学习—————————————————————————————————————————————————第一次翻译长篇文档,如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里...转载 2020-08-21 13:39:54 · 1629 阅读 · 0 评论 -
XSS备忘录
一、标准语句<script>alert(/XSS/)</script>二、尝试大小写<sCript>alert(1)</scRipt>三、使用<img>标签1、windows事件<img src="x" οnerrοr=alert(1)><img src="1" οnerrοr=eval("alert('xss')")>//图片加载错误时触发2、鼠标事件<img src=1 οnmοus转载 2020-08-21 13:21:53 · 156 阅读 · 0 评论 -
sql_waf绕过
文章目录sqlwaf绕过手工(fuzz)测试sqlwaf绕过思维导图sqlwaf tamper绕过脚本编写sqlwaf绕过手工(fuzz)测试sqlwaf绕过思维导图图中我们以几个方向去绕过waf一.服务器特性二.应用层特性三.waf层特性首先吧↑↑↑这上面这三种特性测试一遍,再测试数据库特性测试数据库特性之前,需要找到存在绕过的位置,然后再进行测试数据库特性四.数据库特性sqlwaf tamper绕过脚本编写...原创 2020-08-20 16:19:03 · 521 阅读 · 2 评论