上传绕过WAF的一些常用方法

0X01姿势总结

（1）fuzz文件名后缀方法用burpsuite进行模糊测试，寻找黑名单之外的文件
（2）windows系统可以进行后缀修改如：webshell.php……………..
（3）路径绕过：有些WAF只会监视某个目录是否被上传webshell
（4）大小写组合如：PhP，pHp
（5）filename换行
（6）多个filename
（7）引号绕过如：双单，双无，单单，单双，单无
（8）空格添加法
（9）分号法
（10）删除content-type
（11）header中添加任意字符
（12）删除form-data
（13）双后缀名绕过

0x02示例过安全狗

安全狗4.0

（1）filename换行

（2）filename多=号

（3）多分号

（4）修改文件后缀

（5）多单引号

安全狗3.5

（1）删除form-data
（2）删除Content-Type: image/jpeg
（3）单双引号
将filename=”loadfile1.php”改为filename=loadfile1.php;
（4）CoNtent-Disposition加空格或者加1
（5）CoNtent-Disposition大小写
（6）

安全狗文件绕过

原文：https://www.cnblogs.com/ihacker/p/11406241.html