常见Bypass技巧

文件上传Bypass

这里先给出一张整体的文件上传Bypass技巧脑图,如下

F9_AgorawAAuotN

黑名单Bypass(Blacklisting Bypass)

通用技巧

  • 使用随机大小写(如 .pHp、.pHP5、.PhAr)

PHP

  • .php、.php2、.php3、.php4、.php5、.php6、.php7、.phps、.phps、.pht、.phtm、.phtml、.pgif、.shtml、.htaccess、.phar、 .inc、.hphp、.ctp、.module

ASP

  • .asp、.aspx、.config、.ashx、.asmx、.aspq、.axd、.cshtm、.cshtml、.rem、.soap、.vbhtm、.vbhtml、.asa、.cer、.shtml Jsp → .jsp、.jspx、.jsw、.jsv、.jspf

ColdFusion

这里先介绍一下ColdFusion,如下

image-20231207192050061

下面附上ColdFusion的常见Bypass技巧

  • .cfm、.cfml、.cfc、.dbm

Perl

  • .pl、.cgi

白名单(Whitelisting Bypass)

这里以上传php文件为例

  • file.png.php
  • file.png.Php5
  • file.php%20
  • file.php%0a
  • file.php%00
  • file.php%0d%0a
  • file.php/
  • file.php.\
  • file.
  • file.php…
  • file.pHp5…
  • file.png.php
  • file.png.pHp5
  • file.php#.png
  • file.php%00.png
  • file.php\x00.png
  • file.php%0a.png
  • file.php%0d%0a.png
  • file.phpJunk123png
  • file.png.jpg.php
  • file.php%00.png%00.jpg

Comments

2023-12-07
⬆︎TOP