请教JSP文件上传bypass waf
当前情况:
上传点:个人信息头像
限制: 黑名单 (已经绕过)
上传的文件是可以解析的
但是waf内容检测,非常严格
下图这种都直接不让传
也试过很多方法:
1.辣鸡字符填充(无效)
2.超长文件名,文件头,请求头(无效)
3.各种passwaf的马子,很显然,上图都无法上传,马子就更别说了,像无%%一句话都试了(无效)
4.boundary修改也是(无效)
我感觉还是马子的问题,所以想请大佬提供一些思路,或者bypasswaf的马子,之前HW中也碰到过几次,但是因为目标资产比较多,就没在一个点上浪费过多时间
这次又碰到了,不甘心放弃这个点。
本人比较懒,一般不怎么露头,既然问都问了,顺便再问一个
哪位师傅有Weblogic IIOP 那个图形化的工具,支持nat网络的 问题解决了肯定不会白问得~
上传点:个人信息头像
限制: 黑名单 (已经绕过)
上传的文件是可以解析的
但是waf内容检测,非常严格
下图这种都直接不让传
也试过很多方法:
1.辣鸡字符填充(无效)
2.超长文件名,文件头,请求头(无效)
3.各种passwaf的马子,很显然,上图都无法上传,马子就更别说了,像无%%一句话都试了(无效)
4.boundary修改也是(无效)
我感觉还是马子的问题,所以想请大佬提供一些思路,或者bypasswaf的马子,之前HW中也碰到过几次,但是因为目标资产比较多,就没在一个点上浪费过多时间
这次又碰到了,不甘心放弃这个点。
本人比较懒,一般不怎么露头,既然问都问了,顺便再问一个
哪位师傅有Weblogic IIOP 那个图形化的工具,支持nat网络的 问题解决了肯定不会白问得~
关于作者
评论32次
有个叫哥斯拉的权限管理工具。
最开始就是测试的哥斯拉
在配置中打开上帝模式 然后生成shell
哥斯拉的shell
有个叫哥斯拉的权限管理工具。
最开始就是测试的哥斯拉
用这个马试试 https://www.t00ls.com/viewthread.php?tid=56792
shell地址可以私发我试试么
有个叫哥斯拉的权限管理工具。
用垃圾数据填充啊,或者就用正常的图片把马放后面
上面说了啊,无效,填充根本没用,上传限制2M大小,还是能检测到
用垃圾数据填充啊,或者就用正常的图片把马放后面
这个怎么连 啊。。。。。。。
试试unicode编码。如https://www.t00ls.com/thread-60069-1-1.html这里面的那个
卧槽。。。。。成了
试试unicode编码。如https://www.t00ls.com/thread-60069-1-1.html这里面的那个
有没有人碰到过这种检测的,一起交流交流