文件上传waf绕过案例

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

背景：某日清晨一个大佬说帮他绕个waf，绕过了还要请我慢慢吃，老是挑战我的软肋，无法克说。

绕过上传过程

---

掏出了我的burp，看了一下数据包就是一个简单的fck编辑器上传漏洞，访问一下抓包，重放模块填充大佬给的数据包，直接发送，啪啪~ 空白页面。

好家伙，改一下txt后缀无问题，上传正常。

这里我想看一下他用的是哪家的waf对ip和域名进行查询，没啥有用的资产。

又测试一下双重上传，结果还是被拦截，意思就是只要有jsp存在就会被拦截。

这里再次测一下取消一个双引号测试，还是不行。

测试双写Content-Disposition，无果，在测试一处引号删除，无果。

伤心🐕头，在线emo。
试了试，将p进行%70编码进行测试，上传成功连接测试，返回404（服务器存在该文件以url编码的js%70文件存在），访问提示404。

后续

---

这里本来想掏出脏字符过去怼了，一个误打误撞得一个操作，发现jsp文件上传绕过后缀了，将Content-Type: image/png 删除。

测试一下jsp输出看看是否有问题，结果文件内容也检测

这里很简单将上传马换成unicode就行。

连接webshell，看到蓝色得标标，挺好，挺开心。

挑战软肋成功，就浅浅选个498的套餐吧。

---

原文始发于微信公众号（众亦信安）：文件上传waf绕过案例