【文件上传】---WAF绕过---day24

一、数据包能否修改？

1、Content-disposition:一般可以更改

接收到的类型，form-data指的是表单的数据

2、name：表单参数值，不能更改

name：源代码中name决定

3、filename：文件名，可以更改

上传的文件的名字

4、Content-Type：文件MIME，视情况更改

二、waf绕过

waf绕过指的是这个上传点必须要有漏洞，只是在上传的过程中被安全狗拦截。如果这个上传点没有上传漏洞，那就别瞎搁这儿测试了奥。

1、常见绕过方法

①数据溢出-防匹配（xxx...)

比如说a.PHP

直接给它携程aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa(此处省略好几百个a).PHP，让程序崩溃。

或者写到文件名前面，给它整点垃圾数据啥的。

记得在垃圾数据完事之后加上分号。

②符号变异-防匹配（' "

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。