记一次小程序授权测试-绕过阿里云waf getshell

  • A+
所属分类:安全文章

更多精彩推荐,请关注我们
记一次小程序授权测试-绕过阿里云waf getshell


    最近受某单位邀请,对该单位的小程序进行渗透测试,当时没想拿出来分享,所以截图有限,现在想把大体的思路拿出来跟大家分享。

    截止目前,该漏洞已经修复

记一次小程序授权测试-绕过阿里云waf getshell

    首先拿到小程序以后,对大体的功能进行的查看,该小程序主要是商城,测试了支付漏洞以及越权等漏洞以后无果,最后在个人后台找到两处文件上传的地方,一个是上传身份证的地方,一个是上传银行卡的地方,上传身份证的地方是白名单没法上传shell,上传银行卡的地方,先经过测试,可以上传图片以外的文件。



记一次小程序授权测试-绕过阿里云waf getshell


       经过fuzz,最终测试,发现ph[回车]p可以绕过阿里云waf对php的检测,不过有一点很坑的就是,只要带php就会被拦截,最恶心的地方就是连$_POST等都被过滤了,那么问题来了,怎么办呢?最终尝试将<?php中的php删除,可上传,并且成功解析,但是还有shell内容也会被检测,包括我前面所说的$_POST、$_GET等都被过滤,最后发现哥斯拉真的厉害,可以过目前市面上的很多waf,直接用哥斯拉生成的木马,上传即可。



记一次小程序授权测试-绕过阿里云waf getshell



    最后使用哥斯拉连接shell,成功获取服务器主机权限,并且哥斯拉自带bypassOpenBasedir等插件功能,真的好用。




记一次小程序授权测试-绕过阿里云waf getshell



记一次小程序授权测试-绕过阿里云waf getshell

总结

    文件上传不要慌,尝试fuzz是王道。遇到文件上传,只要不是白名单,就可以不断的fuzz,找到没有过滤的后缀,最终就有可能收获意想不到的惊喜,最后再补充一句,哥斯拉真的🐂🍺。

这里附上哥斯拉的下载地址:https://github.com/BeichenDream/Godzilla



secteam公众号

微信搜索 : secteam

长按识别二维码关注

记一次小程序授权测试-绕过阿里云waf getshell




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: