文件上传绕过安全狗WAF实战
今天继续给大家介绍渗透测试相关知识,本文主要是文件上传绕过安全狗WAF实战。
免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未授权设备进行渗透测试!
一、环境搭建
首先,我们来搭建本次的实验环境。我们使用Vmware虚拟机,安装Windows7操作系统的虚拟机,并安装phpstudy和安全狗防护软件,并采用文件上传的经典靶场——upload-labs进行实战,环境如下所示: 我们的安全狗采用默认配置,这样当我们想要上传一句话木马文件时,结果如下所示: 我们可以在安全狗的日志页面查看到拦截日志,如下所示:
二、绕过思路
安全狗WAF文件上传绕过方法可以参考以下文章: 在这里,我们经过反复实验,发现可以通过修改Content-Disposition值得方式进行绕过。
说明: 以上链接中介绍了很多绕过手段,但是显然并不是每种方法都能够绕过的,我们在拿不到安全狗源代码的情况下,只能通过不断尝试的方式进行测验,这就涉及到Fuzz测试相关内容了,该部分内容将在后文中予以介绍。
三、绕过实战
上一篇:
5款热门的远程控制软件,让你事半功倍
下一篇:
压力测试-Jmeter脚本录制方案