记一次上传webshell绕过waf以及爆破数据库
记一次上传webshell绕过waf以及爆破数据库
本人使用的是靶场,我是来讲究waf的
先查看代码,发现第一关是前端验证,那么就是上传一个带有webshell的后门图片
上传,使用burp抓取数据包,更改后缀
然后放包,发现到了waf
现在试试绕过waf
绕过waf有两种方法:
一.让waf检测不到你的脚本后缀(这里我使用的是php)
二.使用其它的脚本去上传,也能执行php代码
这里我使用第一种方法(第一种方法里面有很多小方法):
数据溢出-防匹配(xxxx……)
不断去匹配数据,数据量特别大
原创
2021-07-08 11:12:42 ·
1089 阅读 ·
0 评论