文件上传及绕waf扩展思路

已于 2022-07-26 03:40:35 修改
阅读量547 收藏 5
点赞数 1
文章标签: 网络安全
于 2021-11-09 10:01:27 首次发布
原文链接:https://xz.aliyun.com/t/10459
版权

1、换行

在这里插入图片描述

2、多个等于号

在这里插入图片描述

3、单双引号替换

在这里插入图片描述

4、去掉引号

在这里插入图片描述

5、溢出Content-Disposition字段

在这里插入图片描述

6、多个Content-Disposition字段

在这里插入图片描述

7、畸形协议

在这里插入图片描述

8、boundary前加减空格

在这里插入图片描述

9、删除Content-Type: image/jpeg

在这里插入图片描述

10、溢出文件名

在这里插入图片描述

11、Accept-Encoding:

Accept-Encoding设置在请求头当中,会告诉服务器,我可以接受哪种编码压缩。
Content-Encoding设置在响应头中,会告诉客户端,我用的是哪种编码压缩。但是也可以放在Header头上

Accept-Encoding: gzip
Accept-Encoding: compress
Accept-Encoding: deflate
Accept-Encoding: br
Accept-Encoding: identity
Accept-Encoding: *

12、分块传输

在这里插入图片描述

13、windows文件命名规范来绕过

众所周知,win的文件名是不能包含以下字符的
在这里插入图片描述
但是上传的时候我们可以构造,尝试使用(正反)斜杠、星号、冒号(冒号会将文件内容置空)、问号、|、<>绕过
在这里插入图片描述

14、三个左尖括号可以写入文件

四个也可以
在这里插入图片描述

15、尖括号代替点

在这里插入图片描述

16、…/进行跨目录上传

Get:在上传路劲处../upload/1.php%00
Post:对../upload/1.php后进行16进制hex修改为00

17、非路径截断

1.php;jpg
1.php%00.jpg
1.php/00.jpg

18、测试是否存在多个上传接口(删除或增加)

OSS这些,遇到这类接口,可以尝试更改OSSfile,test,或者删除oss,只留upload做尝试,同理也可对三级目录进行z

首先借用阿里云oss首页的介绍性文字来解释下oss是什么:
海量、安全、低成本、高可靠的云存储服务,提供99.99999999%的数据可靠性。
使用RESTful API 可以在互联网任何位置存储和访问,容量和处理能力弹性扩展,多种存储类型供选择全面优化存储成本。简单可以理解为企业自身的文件存储服务器。
问题出在站点的上传功能,存在任意文件上传,但因为上传到的是oss或文件存储服务器,所以不论是什么类型的脚本都是不解析的,访问会直接下载回来,
那作为开发者会高枕无忧了吗?然并卵,我还可以上传一个内容存在xss payload的hack.html的文件,服务器便会静态文件进行解析;
重点来了,可能企业在使用oss服务时,使用的域名是img-oss.yourcompanydomain.com,而在你公司的sso或产品为了跨域在开发时set-cookie:*.yourcompanydomain.com,
那攻击者就可以拿着img-oss.yourcompanydomain.com/hack.html找对应的场景或发给公司的员工,打开后cookie可能就被“借”走了

总结两点:

1、任意文件上传;
2、站点可以跨域

OSS

19、更改字段内容

在这里插入图片描述

20、中间件漏洞绕过

Apache HTTPD 换行解析漏洞(CVE-2017-15715) 2.4.0~2.4.29版本 【windows系统不行】
Apache HTTPD 多后缀解析漏洞

Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 文件名逻辑漏洞(CVE-2013-4547)
Nginx 解析漏洞  (1.jpg/.php)

21、换行+Transfer-Encoding: chunked

22、遇到base64上传,修改:data:image/jpeg;

如:application/x-php
   image%2Fjpg”改成"image%2Fphp

在这里插入图片描述

23、filename改造、name改造(和filename差不多)

名字特殊符号替换以及构造异常闭合

filename='shell.jspx.jsp'
filename=shell.jspx.jsp
filename=shell.jspx.jsp'
"filename"=shell.jspx;

重写

filename=shell.jpg;filename=shell.jspx;
filename=shell.jspx;filename=shell.jpg;

大小写变化

FileName=shell.jspx.jsp'

参数污染

FileName=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaashell.jspx.jsp'
FileName =shell.jspx(加空格)
filename===="shell.jspx.jsp1"(加等号)
FileName =shell.jspx(前后加空格,中间也可以加特殊符号fuzz)

文件名字编码(filename一般为后端接收参数,编码了可能识别不到,这个就看情况)

filename=\u0073\u0068\u0065\u006c\u006c\u002e\u006a\u0073\u0070

回车换行(有时候确实挺好用的,任意位置都可以试一下)

FileName=shell.jspx.
jsp

File
Name=shell.jspx.jsp'
违规用户456121984651
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
上传WAF的15中姿势
06-29
WAF进行文件上传的文旦,可以学习一些姿势加以利用。
上传WAF的tips大全
weixin_30855761的博客
07-20 155
原始默认状态: ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=”backlion.asp” Content-Type: text/html 突破0,文件名前缀加[0x09]过: ——WebKitFormBoundary2smpsxF...
WEB漏洞-文件上传WAF过及安全修复
最新发布
qq_54190167的博客
04-11 697
WEB漏洞-文件上传WAF过及安全修复
WAF Bypass】文件上传waf姿势总结
m0_46103905的博客
06-01 1426
总结了文件上传waf的一些姿势,以及针对网站安全狗进行了实战演练。
文件上传WAF拦截的过方式
qq_56228347的博客
11-24 2817
文件上传WAF拦截的过方式
HTTPWAF之浅尝辄止
小王的储物间
02-03 601
最近参加重保,和同事闲聊时间,谈起来了外网,彼时信心满满,好歹我也是学了几年,会不少的。结果,扭头看完do9gy师傅的《腾讯 WAF挑战赛回忆录》,就啪啪打脸了。说来惭愧,最近一段时间,拿到offer就开始飘起来了,现在悔不当初,于是就想写一篇关于这篇Http首部字段文章的"训诂篇"出来,一来当做知识巩固,二来算是完善些和首部字段相关的知识点(可会因为见识不足,导致遗漏)。毕竟,小白可能这方面了解不多,只了解Cookie和Agent这种常见类型的首部字段,却很少听过Accept-
文件上传思路拓展
A_991128a的博客
02-23 122
有些时候文件上传成功后端没有返回路径,只回显了一个id号,这时候如果目标存在注入的话,我们尝试可以用sqlmap的–search参数或者SQLshell对返回的ID号进行搜索,这样说不定就能找到shell地址了;
文件上传waf
None安全团队
12-16 3878
前言 在这个waf横行的年代,waf花的时间比找漏洞还多,有时候好不容易找到个突破口,可惜被waf拦得死死的。。。 这里总结下我个人常用的文件上传waf的方法,希望能起到抛砖引玉的效果,得到大佬们指点下。 常见情况 下面总结下我经常遇到的情况: 一. 检测文件扩展名 很多waf在上传文件的时候会检测文件扩展名,这个时候又能细分几种情况来过。 1. 寻找黑名单之外的扩展名 比如aspx被拦截,来个ashx就行了;jsp被拦截可以试试jspx、JSp等等。这个简单,无需赘述。 2. 构造
WAF过之文件上传
Williamanddog的博客
02-05 1087
我们上传1.txt文件,抓包修改content-type为:application/octet-stream。那我们通过hackbar来验证,利用免杀一句话木马成功执行命令。接下来我们在判断是否是通过content-type来进行拦截。修改了1.txt的content-type也可以成功上传。所以可以判断,WAF是根据文件名后缀来进行拦截的。我们在请求包中插入足够多的无用数据,成功上传。但是我们并不知道waf拦截我们的机制。我们访问上传的一句话木马被拦截。我们上传一个一句话木马,被拦截。
文件上传——WAF的基础
mingyqf的博客
04-20 1790
[文件上传——WAF的基础过 ] 原文链接:(https://www.cnblogs.com/-chenxs/p/12324425.html) 方法分类: 1、HTTP参数污染过 2、HTTP Header头部欺骗过 3、HTTP参数溢出过 4、HTTP分块传输过 5、HTTP数据编码过 6、HTTP Pipline过(Keep-alive) 7、HTTP协议未覆盖过 8、HTTP畸形包过 9、HTTP组合过 0x01 HTTP参数污染过 HTTP参数污染简称HPP 由于http协议允
文件上传之,waf过(24)
san3144393495的博客
05-20 1396
前期upload第二关的时候,判断的方式就是mime的类型的过,过miem是图片类型就可以上传,没有验证后缀,这是代码的判断,我们在来探针一下防护软件是怎么判断的,现在第二关上传一个图片上去,抓住数据包,mime满足就可以上传,所以把上传的文件名字改成php格式,本来这是可以正常上传成功的。mime可以作为一个验证条件,验证mime来判断你个文件一个合法性的时候,可以通过更改mime来达到一个伪造,比如上传一个php文件,这时候可以更改为图片类来尝试过mime验证。
2022年文件上传漏洞过姿势整理,过waf
11-20
2022年文件上传漏洞过姿势整理,过waf版,思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行
文件上传思路总结 - 先知社区1
08-03
1.Accept-Encoding 改变编码类型 2.修改请求方式过 3.host头部
SQL注入WAF小结
05-08
自己总结SQL注入WAF小结,有人能指点指点就更好啦。。
WAF过的各种方法总结.pdf
07-09
WAF过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
waf的方式
愿路途漫长,莫失莫忘。 愿不骄不躁,安稳顺心。
09-08 3927
过滤关键词: and, or, union, where, limit, group by, select被拦截的语句: 1 || (select substr(group_concat(user_id),1,1) user from users) = 1bypass语句: 1 || 1 = 1 into outfile 'result.txt'混淆: http://victim/cgi/%252E%252E%252F%252E%252E%252Fwinnt/system32/cmd.exe?
任意文件上传过云waf+本地防火墙双重防护
墨痕诉清风的博客
10-28 929
因为这种单位很喜欢将自己的服务器部署在C段的分散的IP上,于是猜测,这个类似官网网站的站点也很有可能就搭建在这个超链接的C段上,我们不妨 host 碰撞一下,如果找到了真实IP的话,那么就可能过云 waf。但是这里内容检测还是过不了,但是不会显示云 waf 地址或者 502了,猜测肯定是过了 cdn, 但是不知道是什么拦截住了(可能为本地的硬件防火墙)时,就可以过内容检测,不知道市面上有没有这种类型的webshell,我找了一圈好像都有。尝试了一下,发现content-Encoding居然可以过。
上传_waf
weixin_44110913的博客
08-22 579
匹配规则 根据其匹配规则,探测出到底匹配了那些内容 主要以文件名前后缀,观察前缀是否没有过滤而过滤了后缀 特性 根据其本身的特性去过 服务器特性 操作系统特性 脚本语言特性 过安全狗上传 文件前后缀过 空格x.php%00.jpg编码过, %00使用burp url编码,使其匹配不到php。 但是%00却仍在截断,从而剩下空格x.php,访问%20x.php即可 思路 匹配不到后缀为php,却可以执行php 过演示 首先测试文件名左边看是否匹配 可以明显的看到左边安全狗也匹配..
【小迪安全】Day24web漏洞-文件上传漏洞之WAF
qq_44312640的博客
11-08 294
介绍文件上传漏洞的WAF过方法
如何防止文件上传WAF
05-20
要防止文件上传WAF,可以采取以下措施: 1. 文件扩展名过滤:通过对上传文件的扩展名进行过滤,只允许上传指定类型的文件。同时,需要注意的是,黑名单式的过滤不如白名单式的过滤安全。 2. MIME类型过滤:WAF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值