一、常见的绕过方法
1.上传参数名解析:明确有哪些东西能修改?
Content-Disposition: 一般可更改
name: 表单参数值,不能更改
filename :文件名,可以更改
Content-Type:文件MIME,视情况更改
2.常见的绕过方法
数据溢出-防匹配(xxx.. .) 绕不过
符号变异-防匹配('" ;) 绕不过
数据截断-防匹配(%00 ;换行)
重复数据-防匹配(参数多次)
二、fuzz字典
1.资源
https://github.com/fuzzdb-project/fuzzdb
https://github.com/TheKingOfDuck/fuzzDicts
https://github.com/TuuuNya/fuzz_dict
https://github.com/jas502n/fuzz-wooyun-org
1.步骤
四、pikachu+安全狗绕过
1.正常上传,未被拦截
2.直接修改后缀被拦截
3.Content-Type迷惑被拦截
4.Content-Disposition迷惑,未被拦截
5.换行绕过被拦截
6.去后引号 被拦截
7.引号都去被拦截
8.%00截去未被拦截
第一张图没有转化URL解码
URL解码