本文属i春秋的原创奖励计划,未经许可禁止转载!
前言 半年前的我,手握各种WAF的bypass,半年之后的我。就把思路分享出来了。别问我什么!问了我也不会告诉你,我是没事闲的!是不是好多人遇见WAF,就一阵头大呢~今天我就开车啦~大家快上车!
正文 测试环境
php:我使用的是 phpStudy
WAF:各种WAF的官网
测试思路 php的本地环境是用来检测sql语句是否可以执行。
WAF官网用来测试语句是否被拦截。
重点 :
1.HTTP数据包的认识。
2.充分利用数据库的注释功能。
3.有对WAF的构造思路。
测试代码 本地PHP存在注入漏洞的代码:
";while($row = mysql_fetch_array($cun))
{
echo "url:".$row['URL']."
";
echo "password:".$row['password']."
";
echo "";
}
mysql_close($conn);
echo "您当前执行的SQL语句:";
echo urldecode($sql);
?>
页:
[1]