头疼的上传绕过waf

1.前言 朋友前几天发来个地址，让一块儿给看一下。。于是就有了这一次苦逼的测试经历。。 2.初步探测 朋友说只有这一个地址可以碰，其他的别动。。大体看了一下，是一个什么自来水的公司的平台。心想：像这样的公司，其实还是比较好做的，资产比较少，也没什么防护。直到后面才发现，脸都被抽肿了。 比较幸运的是，没有验证码，可爆破。既然能提示，那就爆破试试吧。。看运气 既然是MD5加密，那就直接跑跑看，top500直接show hand 比较幸运，进来了。 因为不知道具体框架是什么，所以只能找慢慢找漏洞点，不过总算是进来了。 3.尝试利用 后台嘛，一开始想的就是最直接的方式还是上传。。最开始找到了头像的位置，想看看能不能直接上传，发现是可以的。 看到回显后感觉还能再尝试一下，编码cb65a4a0-b3e0-4a16-8dca-188222dc4f10 这样的值在测试里很常见，虽然这图片的显示方式是以DownloadFile?filed=encode进行，但文件落地还是在某些目录下，最开始以为这就是文件名，于是尝试一下常见目录，然而并没什么用。 此路不通，只能再找找看其他地方，兜兜转转找到了一个资料上传的地方，测试发现是可上传内容的 本以为获取列表、下载的时候会有路径，结果看到数据包后。脑子都大了 再找找其他地方呗 数据表管理。。本以为进闺房得撬锁，结果门是透明的。。这多尴尬。 既然是数据库，那么网站内容在数据库中都能找到具体位置。翻翻看，万一呢。。 PS：这里有个数据库备份功能，别问我为啥不动。。。我只想说：外面的世界很精彩。 翻了一会儿，果然跟我之前猜测的一样，文件确实落地在服务器的某个位置。 这的数据构造比较有意思，固定目录/Resource/DocumentFile/+/encode1/+/time/+/encode2+后缀/ 这样看，前面的都比较好猜测，其中encode1=CreateUserId，time=年月日，麻烦的是encode2不知道是啥算法。。改天再瞧瞧。 既然路径有了剩下的就是上传内容了。 4.痛苦 本以为就这么结束了，没想到这仅仅是个开始。 起初在上传的时候，非常规后缀是可以上传的，就上图的.a,.p后缀。但真要上传脚本后缀的时，发现存在防护，而且防护相当严苛，而且不清楚具体是什么防护。不过，不幸中的万幸是，这个平台是部署在windows上的。。 4.1.Content-Dispositions上的尝试 我们在尝试进行绕过时，对Content-Disposition的改造是永远不会缺席滴。这次也不意外 大小写done 超长字符串done windows下对于文件的命名有些要求，禁止使用下列符号：“？”、“、”、“/”、“_”、“*”、“<”、“>”、“|”，猜测在服务器写入时开发者可能没没有考虑这样的问题。。结果不出意外，done 更改filename的边界，让防护匹配不到呢？又done 多次使用filename?又又done 篇幅有限，以上仅仅是绕过的一小部分，后面还尝试过双文件构造、参数间添加特殊字符、位置变换、多写等等等等等等种方法。均以失败告终。 4.2.重新构造 既然文件上传中Content-Dispositions尝试了这么多，都以失败告终，那么还有没有其他位置可以利用？答案是有的。 曾经看到过《从commons-fileupload源码看文件上传绕waf》，文末提到了dotnet也有这种问题，而此时环境就是donet，于是就找了一下donet的资料。之前大佬的研究 资料显示boundary的处理存在一些问题，分号逗号和等于号作为分隔符，并根据字符集忽略一些空白字符，form-data字段可以不要，可以随便在filename和name前随意填充字段，但是filename和name后必须跟随等号，并且末尾有分号标识结束。 于是构造的思路一下子就拓宽了。大致思路有以下几种： Content-Disposition:u0;;;;!@#$%^&*(;asdasu0085d;085filename=11.aspx Content-Disposition:filename=11.aspx Content-Disposition:aaaaaaaaaaafilename=11.aspx;aaaaaaaaa Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3ah8K0kGYGlF1wE4 Content-Type: multipart/form-data; boundary =  ----WebKitFormBoundary3ah8K0kGYGlF1wE4 Content-Type: multipart/form-dataas,;,;;;;;; boundary=----WebKitFormBoundary3ah8K0kGYGlF1wE4 Content-Type: multipart/form-datau0085,;;,,,,,;;, boundary =   WebKitFormBoundary3ah8K0kGYGlF1wE4 于是重新构造 done 又done 经历了N多不知道多少次失败的尝试之后，终于还是是成功了。。。 最终的格式如下： Content-Type: multipart/form-datau0085,;,,,,; boundary = ----WebKitFormBoundary3ah8K0kGYGlF1wE4 Content-Disposition: u0;;;;!@#$%^&*(;asdasu008name="file"; filename==test.aspContent-Type: !!! 最后也是开心交shell 5.后记 针对文件上传是存在规范的例如： • 基于表单的文件上传: RFC1867 • multipart/form-data: RFC7578 • Multipart Media Type: RFC2046#section-5.1 而各个语言对于规范的遵守就不一定了，waf的匹配也是存在缺陷的，两者相结合，就给我们绕过提供了空间。 绕过waf这东西就是个体力活，多试试，万一呢是吧 文章来源：TIDE安全团队 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END