edusrc证书上传Bypass > getshell

作者：微笑代码狗（我是废物）

首先就是拿到了该学校的数字校园账号，然后登录到统一身份认证：

然后寻找上传点，直接尝试上传webshell进行getshell：

正常上传jpg后缀然后抓包改成jsp是上传失败的：

然后这里有个细心的点，POST头部有个type参数是等于image的，猜测该参数是控制文件上传的类型，然后直接改成jsp进行测试：

上传成功并返回了路径，直接访问后门地址并执行命令：

上面的细心获得了一个webshell，接下来就Bypass > getshell

首先就是上传一张正常的jpg图片，然后放包上传成功，然后把上传的后缀名改成jpga判断是否只允许上传jpg等图片格式，经过测试，jpga也能正常上传，那么就指定是黑名单验证了：

黑名单的话，那么就可以尝试其他的解析后缀，比如：jspa、jspx、jsw、jtml等可以执行jsp代码的后缀。如果是windows服务器下的还可以测试大小写和空格绕过。

经过一轮的测试，发现并不能绕过。那么就换其他的方式进行绕过。比如双写fliename等方式啥啥啥的，这里我就直接贴成果了，直接双写Content-Disposition绕过getshell：（这里看起来很简单，但是实际操作的时候并没有这么简单，反正就多积累经验。多尝试其他方法！）

然后访问看看能不能正常解析：

总结：waf是死的，人是活的，脑子需要灵活变通，过一些简单的waf还是绰绰有余的。

拿下证书：

最后祝迪总越来越好！

撒个狗粮：be英我滴宝，爱你一万年！！！

原文始发于微信公众号（WK安全）：授权投稿|Bypass上传拿下edusrc-微笑代码狗