環境準備:
- 43-5 waf繞過 - 安全狗簡介及安裝-CSDN博客
- 然后安裝dvwa靶場:構建完善的安全滲透測試環境:推薦工具、資源和下載鏈接_滲透測試靶機下載-CSDN博客
打開dvwa靶場,先將靶場的安全等級調低,然后切換到文件上傳
一、符號變異
在PHP中,由于其弱類型特性,有時候僅有一個引號或沒有引號也能被正常識別。針對某些Web應用防火墻(WAF)可能匹配單雙引號內的內容,可以嘗試將引號對進行刪除,例如將filename="1.php"簡化為filename=1.php
先上傳一個php木馬測試,內容如下:
)
)
)
