關(guān)于我們

WAF的正確bypass

標簽：發(fā)布日期：2017-01-05 00:00:00  252

本文屬i春秋的原創(chuàng)獎勵計劃，未經(jīng)許可禁止轉(zhuǎn)載！

前言半年前的我，手握各種WAF的bypass，半年之后的我。就把思路分享出來了。別問我什么！問了我也不會告訴你，我是沒事閑的！是不是好多人遇見WAF，就一陣頭大呢~今天我就開車啦~大家快上車！

正文測試環(huán)境

php：我使用的是 phpStudy

WAF：各種WAF的官網(wǎng)

測試思路 php的本地環(huán)境是用來檢測sql語句是否可以執(zhí)行。

WAF官網(wǎng)用來測試語句是否被攔截。

重點：

1.HTTP數(shù)據(jù)包的認識。

2.充分利用數(shù)據(jù)庫的注釋功能。

3.有對WAF的構(gòu)造思路。

測試代碼本地PHP存在注入漏洞的代碼：

<?
php$id = $_GET['x'];
$conn = mysql_connect('127.0.0.1','root','Lyy1314...');
mysql_select_db('ceshi',$conn); 
$sql = "select * from user where id={$id}";
$cun = mysql_query($sql);
echo "< charset=utf-8>";while($row = mysql_fetch_array($cun))
{  
echo "url：".$row['URL']."<br>";  
echo "password：".$row['password']."<br>";  
echo "<hr>";
} 
mysql_close($conn);
echo "您當前執(zhí)行的SQL語句：";
echo urldecode($sql);
?>

国产精品成人VA在线观看,亚洲日韩在线中文字幕综合,亚洲AV电影天堂男人的天堂,久久人人爽人人爽人人av东京热

News新聞

相關(guān)關(guān)鍵詞

關(guān)于我們

最新文章

WAF的正確bypass

相關(guān)文章