前言

之前刷upload labs知道一些文件上传绕waf的姿势,这篇文章是建立在upload-labs已有知识点上的

正文

绕硬件waf

我也不是对这些有很深的定义,所以我把奇安信的天眼、青藤云的猎鹰、深信服AF NGAF等列为硬件waf

硬件防火墙一般为了业务流畅会当请求太多或者个别请求太大的时候会选择放行数据包

所以绕waf的姿势是:

  1. 超长文件名 如Content-Disposition: form-data; name=”file”; filename=”1.a.a.a.不要忽略我的长度.a.jsp
  2. 超大数据包 如在没用的位置加上一大堆乱码
  3. 超多流量 如用bp的intruder重复发包,线程加大
  4. 参数污染 搞清楚什么地方被ban,就给个正儿八经的参数在那,后面跟一个不那么正经的参数,有点像sql的参数污染?a=1&a='+or+1=1--+

绕软件waf

这个我也不是很专业,对这些也没有很深的定义,所以我把安全狗等列为软件waf

绕软件waf还没研究过,所以先搁着以后更新。

绕云waf

云waf的原理:

云waf,WEB应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用DNS技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。注意点:主要实现方式是利用DNS域名解析技术。部分可通过查找真实ip绕过。

查找真实ip 用nslookup或者ping 或者全国多处ping https://www.17ce.com 有些站为了节约成本主域名用cdn子域名不用cdn 可以先看子域名的真实ip进而得到真实ip

绕代码waf

常见黑名单绕过

".php",".php5",".php4",".php3",".php2","php1", ".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3", ".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx", ".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw", ".jSv",".jSpf",".jHtml", ".asp",".aspx",".asa",".asax",".ascx", ".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx", ".aShx",".aSmx",".cEr",".sWf",".swf","cshtml"

另外如果是asp.net+IIS的站有时可以解析asp和php,可以尝试上传

也可以尝试IIS解析漏洞上传1.asp;.png

无返回路径

  1. 上传之后F12看路径
  2. 上传一些违法字符例如带*?<>:"\/的文件名,windows的站会因为不能这样命名而报错,从而爆出路径。

结尾

参考链接

https://mp.weixin.qq.com/s/zO3ue6tipMiEWEibubFpaQ

说点什么
支持Markdown语法
在"文件上传绕waf"已有1条评论
Loading...