🌟 ❤️
作者:yueji0j1anke
首发于公号:剑客古月的安全屋
字数:1185
阅读时间: 5min
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外
目录
-
前言
-
后台
-
打点
-
绕waf
-
总结
0x01 前言
最近在研究安全开发端口banner的相关返回处理引擎,一早上起来的时候看见微软0day就点懵,去试了试就觉得蜜罐100%几率(bushi),刚好今天也不想再敲一些杂七杂八的代码了,就随手在自己的资产监控列表挑了几个后台开始了今天的渗透测试。
0x02 进入后台
优秀的后台往往不需要任何高端大气上档次漏洞,比如说这个
在经过几个常见的弱口令登录测试后,以admin/admin888登录成功
0x03 打点
进入后台后开始悠哉点鼠标,
找到了几个文件上传接口,但前端都进行了限制,只能上传特定后缀文件,
无奈开始抓包
这里简单改个包上传成功
因为没有回显,所以拿出了我的fuzz文件上传目录字典开始了疯狂的寻找(很早就产生了文件上传无回显工具的想法,可惜由于时间的问题,一直没能够落实)
用dirsearch+字典跑出了upload和images等个目录
试试找了找路径+/1.txt,皆无收获,无奈开启二级路径测试
经历了几次寻找后,终于在一个app文件夹下找到1.txt
0x04 绕waf
接下来尝试上马
按照我测试文件上传的思路,通常将content-type更改成图片传输类型,即可绕过一些简单的waf
但这里数据包传输过去后竟直接进入了拦截页面,用waf指纹识别工具看了看,发现是xxxx盾
那就得尝试进行文件上传绕过
常规来说,waf从文件名与文件内容的角度对文件上传进行检测拦截
若是拦截文件名,则可尝试以下手段
1.大小写变换
2.添加符号
3.变换boundary头部
4.颠倒顺序
5.各种符号截断
若是拦截文件内容,则可尝试以下手段
1.数据重复
2.数据溢出
3.垃圾数据
而判断的方法很简单,把我们要写入的脚本内容加白即可,这里我尝试随便写个write语句
成功访问,证明是对文件内容进行了拦截
这里我们尝试进行在multipart/form-data与boundary之间入垃圾数据
Content-Type: multipart/form-data; bf8658dafbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0bf8658dafbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0b9f2312bf8659f2312bf8658dafbf0fd31ead48dcc0b9f2312bfWebKitFormBoundaryzEHC1GyG8wYOH1rffbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0b8dafbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0b9f2312bf8658dafbf0fd31ead48dcc0b9boundary=---------------------------55107301338934892091876051441
成功进行上传并连接
该后台还有多处导入数据上传xls文件
此几处处waf的拦截机制应是文件名
一旦不是xls后缀,即会返回该页面
看了看js文件
需要文件名里有xls,他只需要indexof,那我们文件名里面加入xls即可
依旧回显
此时我们采用文件名重复方法进行绕过waf
成功上传
相关web路径寻找因为步骤重复,在此省略,最后发现上传的文件在uploadfile相关文件夹下
然后上马,自然而然成功连接
但在测试过程中发现
这样的上传方式居然能够成功上传,而且对应文件可以被成功解析
发banner信息识别一下了网站,发现用的IIS8.5,但我也记得8.5没这样的漏洞.....
此处存疑,还望各位大佬解解惑
原文始发于微信公众号(迪哥讲事):实战-后台多处对文件上传的WAF绕过
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论