<小迪安全>-文件上传之WAF绕过及安全修复

原创 已于 2023-03-25 11:26:04 修改 · 265 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2023-03-23 23:20:45 首次发布
文章探讨了文件上传时如何通过修改Content-Disposition、filename等参数进行绕过检测的方法,包括数据溢出、符号变异、数据截断等技巧。同时,提出了后端验证、MIME检测、内容检查以及使用WAF等安全修复方案来防止恶意文件上传。
  1. #上传参数名解析: 明确哪些东西能修改?

Content-Disposition:一般可更改

name:表单参数值,不能更改

filename:文件名,可以更改

Content-Type:文件MIME,视情况更改

常见绕过方法

 数据溢出-防匹配(xxx...) :就是在关键点前面写入大量的无用数据来干扰对后面主要数据的检测

符号变异-防匹配(' " ; ):有的检测可能是基于单引号和双引号来获取数据,可以修改单引号或双引号的位置或增加删除单双引号来干扰waf

数据截断-防匹配(%00; 换行)

重复数据-防匹配(参数多次)

Payload : 大量垃圾数据缓冲溢出(Ccontent-Disposition,filename等)

#单引号、双引号、分号

filename=x.php

filename="x.php

filename='x.php ;

filename="a.jpg;.php";

# %00、换行

filename="Content-Disposition : form-data;name="upload_file" ; x.php"

filename="x.jpg" ;

filename="x.jpg" ; . . . ..filename="x.php";

filename=

"x .

p

h

p"

;

  • 垃圾数据

  •  修改单/双引号

  • ;截断

  •  重复参数

  • /绕过 

 #文件上传安全修复方案

后端验证:采用服务端验证模式后缀检测:

基于黑名单,白名单过滤M工ME检测:

基于上传自带类型检测

内容检测:文件头,完整性检测

自带函数过滤:参考uploadlabs函数

自定义函数过滤:function check_file(){ }

WAF防护产品:宝塔,云盾,安全公司产品等

资源

https://github.com/fuzzdb-project/fuzzdb 

TheKingOfDuck/fuzzDicts: Web Pentesting Fuzz 字典,一个就够了。 (github.com)

WEB漏洞-文件上传WAF绕过安全修复
Jack, what else can you do besides holding your little darling?
12-07 491
WEB漏洞-文件上传WAF绕过安全修复
文件上传绕过安全狗V3.5---绕过WAF---uploadlabs
z2560088的博客
01-16 2514
目录 环境: 测试: 1.数据溢出-防匹配 参数;saldmsakdsaxxsadsa(垃圾数据);参数 2.符号变异-防匹配 1 "Getzwt.php:"文件名后加: 2 filename========"Getzwt.php"​ 3.破坏数据包的完整性 1 去除formdata 2 去除content-type参数 4 重复数据-防匹配 1 filename=;filename="Getzwt.php" 参数之间以;分隔,让waf认为filename=null从而绕...
web漏洞“小安全课堂笔记”文件操作安全文件上传
weixin_42902126的博客
03-22 4198
思维导图 利用思路 什么是文件上传漏洞? 指程序对文件的上传未作全面的限制,导致用户可以上传一些超越用户权限的一些文件,可以是木 马,shell脚本,病毒等。 文件上传漏洞有哪些危害? 可以通过文件上传漏洞上传webshell后门。 文件上传漏洞如何查找及判断? 黑盒: 使用扫描工具扫描打开网站。 黑盒:测试会员中心,测试后台。 白盒:直接撸源代码。 文件上传漏洞有哪些需要注意的地方? 拿到漏洞后要对漏洞类型进行区分,编辑器、第三方应用、常规等。区分漏洞类型。 关于文件上传漏洞在实际应用中的说明? 上传
渗透笔记:文件上传(1)
qq_52696970的博客
04-02 2810
文件上传(1)1、概述2、常规文件上传地址获取3、文件上传基础4、黑名单绕过5、白名单绕过 1、概述 (1)什么是文件上传漏洞? 程序对文件的上传未作全面的限制,导致用户可以上传一些超越用户权限的文件,可以是木马,shell脚本,病毒等。 (2)危害 可以成为网站后门webshell获取权限 (3)漏洞的查找和判断 黑盒查找:扫描敏感文件获取上传地址;功能点测试;后台处的文件上传(后台权限不等于网站权限) 白盒查找:拿到网页源码后,通过代码分析是否有文件上传漏洞 判断:抓包或测试 注:文件上传类型的分析
渗透笔记:文件上传(2)
qq_52696970的博客
04-02 2165
文件上传(2)1、后端绕过(1)图片马的制作(2)文件头检测(3)图像文件信息判断(4)逻辑安全(5)目录命名+数组接收(6)CVE漏洞2、解析漏洞3、编辑器漏洞4、文件上传思路 1、后端绕过 代码问题漏洞 (1)图片马的制作 copy 1.png /b + shell.php /a webshell.jpg 直接在图片中插入(十六进制)webshell:<?php @eval($_POST['x']);?> (2)文件头检测 一般用十六进制器修改(burpsuit抓包修改头文件) JPEG (
【小安全】Day24web漏洞-文件上传漏洞之WAF绕过
qq_44312640的博客
11-08 692
介绍文件上传漏洞的WAF绕过方法
《小安全》第21天 文件上传:后端黑白名单绕过
m0_56250796的博客
11-07 509
首先作者先判断我们用POST方式提交(标签名为submit)的变量是否存在,如果存在,则接下来判断upload这个文件夹是否存在,如果存在则继续判断我们上传文件的文件类型,如果其文件类型为image/jpeg或者为image/png或者为image/gif,那么让temp_file这个变量获取存储在服务器中文件的临时名称,然后让img_path这个变量为upload+/+被上传文件的名称。如果在上传文件的后缀名里面加上空格,匹配到的含空格的字符串就在黑名单之外,就可以成功进行上传。
<小安全>19-SQL注入之sqlmap绕过WAF
hackerXxxt的博客
03-17 1166
1.白名单方式一:IP白奖单从网络层获取的ip,这种一般伪造不来,如果是获取客户端的IP,这样就可能存在伪造IP绕过的情况。测试方法:修改http的header来bypass wafx-Real-ip方式二:静态资源特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等),类似白名单机制,waf为了检测效率,不去检测这样一些静态文件名后缀的请求。id=1id=1备注: Aspx/php只识别到前面的.aspx/.php后面基本不识别。
第24天:WEB漏洞-文件上传WAF绕过安全修复1
08-03
Content-Disposition:一般可更改name:表单参数值,不能更改filename:文件名,可以更改Content-Type:文件 MIME,视情
第28天:WEB漏洞-XSS跨站之WAF绕过安全修复1
08-03
WEB 漏洞-XSS 跨站之 WAF 绕过安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
B站小安全笔记第二十天-文件上传之基础过滤方式
m0_61530426的博客
07-29 922
B站小安全笔记
文件上传绕过WAF:雷池、宝塔安全狗技巧
最新发布
wcl20010的博客
06-30 1610
WAF会检查上传文件的MIME类型(Content-Type)和文件扩展名,判断是否为可执行文件或恶意文件类型。例如,阻止上传.php.jsp.asp等脚本文件。WAF会对上传文件的内容进行深度分析,通过特征码匹配、沙箱分析等方式,检测文件中是否包含恶意代码(如WebShell特征码)。WAF会检查文件名是否包含特殊字符、双扩展名等异常情况,以防止攻击者通过文件名混淆绕过检测。WAF会分析HTTP请求包的结构,特别是部分的和boundary等字段,确保其符合HTTP协议规范,防止畸形请求绕过
文件上传的一些简单绕过
qq_52469895的博客
04-10 2386
文件上传宝塔WAF 0x00:写在前面 0x01:上传绕过后缀检测的姿势 方法1:文件名14.\np\nh\np绕过(如下0x02的方法1所示) 方法2:0a污染就能传php了(改hex) 0x02:绕过宝塔waf检测的文件内容书写 方法1:文件名14.\np\nh\np绕过,用个deskop.ini做一下污染 写马。 deskop.ini污染,就是类似windows dos窗口下制作图片🐎一样,二进制揉在一起。 POST /sandbox/i9pkda6liup7jd81u
文件上传之,waf绕过(24)
san3144393495的博客
05-20 1804
前期upload第二关的时候,判断的方式就是mime的类型的绕过绕过miem是图片类型就可以上传,没有验证后缀,这是代码的判断,我们在来探针一下防护软件是怎么判断的,现在第二关上传一个图片上去,抓住数据包,mime满足就可以上传,所以把上传的文件名字改成php格式,本来这是可以正常上传成功的。mime可以作为一个验证条件,验证mime来判断你个文件一个合法性的时候,可以通过更改mime来达到一个伪造,比如上传一个php文件,这时候可以更改为图片类来尝试绕过mime验证。
文件上传waf绕过安全维护
硫酸超的博客
08-12 427
文件上传waf绕过安全维护上传参数名解析常见绕过方法数据溢出-防匹配(xxx...)符号变异-防匹配(' " ; )数据截断-防匹配(%00 ;/换行)重复数据-防匹配(参数多次)fuzz安全修复 上传参数名解析 明确那些东西能修改? Contont-Disposition:一般可更改 name:表单参数值,不能更改 Filename:文件名,上传的文件,可以更改 Content-Type:文件MIME,视情况更改,判断滤机制里面是不是通过这个这个属性值来过滤的 见upload-labs-master
【黑客技术】文件上传绕过小技巧总结,网络安全零基础入门到精通教程!
A1353192296的博客
12-03 1020
今天给大家总结一下自己在遇到文件上传时遇到的问题,以及可以尝试的方法写的有点乱,各位师傅见谅~~~
[小安全24天]文件上传WAF绕过
weixin_54252904的博客
05-19 564
文件上传WAF绕过 上传参数名解析:明确哪些东西能修改? Content-Disposition:一般可更改 name:表单参数值,不能更改 filename:文件名,可以更改 Content-Type:文件MIME,视情况更改
PythonPHP异或免杀马制作以及使用编码器和解码器绕过宝塔实现webshell控制
qq_61616350的博客
12-21 1448
我们先用$a接收加密 create_function后的结果,$a = ('3'^'P').(')'^'[').(')'^'L').(')'^'H').(')'^']').(')'^'L').(')'^'v').(')'^'O').(')'^'\\').(')'^'G').(')'^'J').(')'^']').(')'^'@').(')'^'F').(')'^'G');不知道为什么我的ASSERT()函数使用蚁剑连接不上,所以我就用了自定义函数的方法来制作木马。我上传的shell也被宝塔拦截了。
24 WEB漏洞-文件上传WAF绕过安全修复_阿里云盾waf绕过怎么修复
logic1001的博客
04-03 960
我这个测试是没有必要的,这只是说大家以后碰到同类的防护软件,不管是安全狗还是宝塔安全公司里面的产品,那么大家在研究的时候,也是这么个研究方法,大家不要自己绕过绕过了,我们学的是研究的方法后期只要脑瓜子灵活一点,是没有任何问题是可以绕过的,方法学不到,那讲了也是白讲,我希望大家学的是绕过的方法,以后自己就能做这个事情。.php,它的意义是很明显的,因为安全狗也是程序,当它碰到截断,也是会截断的,后面的.php就没有匹配到,最后上传的后缀是.php就行了。这是垃圾数据的一个典型情况,末尾是要加;
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0"> <display-name>web application framework</display-name> <resource-ref> <description>DB Connection</description> <res-ref-name>jdbc/waf</res-ref-name> <res-type>javax.sql.DataSource</res-type> <res-auth>Container</res-auth> </resource-ref> <session-config> <session-timeout>60</session-timeout> <cookie-config><name>JSESSIONID</name></cookie-config> </session-config> <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath:spring_context.xml ,classpath:quartz_context.xml ,classpath:spring_context_misc.xml ,classpath:bpms_context.xml, classpath:process_group.xml </param-value> </context-param> <listener> <listener-class>cn.ccccltd.waf.listener.SessionListener</listener-class> </listener> <listener> <listener-class>cn.ccccltd.waf.listener.CacheFileEvent</listener-class> </listener> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> </listener> <listener> <listener-class>org.apache.commons.fileupload.servlet.FileCleanerCleanup</listener-class> </listener> <listener> <listener-class>cn.ccccltd.bpms.BpmsInitializer</listener-class> </listener> <listener> <listener-class>cn.ccccltd.bpms.ou.listener.BpmsSessionListener</listener-class> </listener> <filter> <filter-name>SigninFilter</filter-name> <filter-class>cn.ccccltd.waf.SigninFilter</filter-class> <init-param> <param-name>signinUrlPattern</param-name> <param-value>bo,dhtml,dhtm,shtml,shtm</param-value> </init-param> </filter> <filter-mapping> <filter-name>SigninFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- ****************************************************************************** --> <filter> <filter-name>xssFilter</filter-name> <filter-class>cn.ccccltd.waf.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <filter> <filter-name>SSOLoginFilter</filter-name> <filter-class>cn.ccccltd.waf.sso.controller.SSORequestController</filter-class> </filter> <filter-mapping> <filter-name>SSOLoginFilter</filter-name> <url-pattern>*.bo</url-pattern> </filter-mapping> <!--<filter> <filter-name>springSessionRepositoryFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSessionRepositoryFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>ERROR</dispatcher> </filter-mapping>--> <servlet> <servlet-name>appDispatcher</servlet-name> <servlet-class>cn.ccccltd.waf.AppDispatcher</servlet-class> <init-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring_dispatcher_context.xml</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <!-- Spring MVC 请求映射 --> <servlet-mapping> <servlet-name>appDispatcher</servlet-name> <url-pattern>*.bo</url-pattern> </servlet-mapping> <servlet> <servlet-name>appLoader</servlet-name> <servlet-class>cn.ccccltd.waf.AppLoader</servlet-class> <load-on-startup>2</load-on-startup> </servlet> <servlet> <servlet-name>monitorLoader</servlet-name> <servlet-class>cn.ccccltd.waf.MonitorLoader</servlet-class> <load-on-startup>30</load-on-startup> </servlet> <servlet> <servlet-name>fileUpload</servlet-name> <servlet-class>cn.ccccltd.waf.tool.FileUpload</servlet-class> <load-on-startup>97</load-on-startup> </servlet> <servlet> <servlet-name>randomCode</servlet-name> <servlet-class>cn.ccccltd.waf.tool.RandomCode</servlet-class> <load-on-startup>99</load-on-startup> </servlet> <servlet-mapping> <servlet-name>appDispatcher</servlet-name> <url-pattern>*.dhtml</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>appDispatcher</servlet-name> <url-pattern>*.dhtm</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>appDispatcher</servlet-name> <url-pattern>*.shtml</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>appDispatcher</servlet-name> <url-pattern>*.shtm</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>fileUpload</servlet-name> <url-pattern>/waf/tool/fileUpload</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>randomCode</servlet-name> <url-pattern>/waf/tool/randomCode</url-pattern> </servlet-mapping> <servlet> <servlet-name>FileUploadServlet</servlet-name> <servlet-class>cn.ccccltd.comm.upload.FileUploadServlet</servlet-class> <init-param> <param-name>fileSizeLimit</param-name> <param-value>2000</param-value> </init-param> </servlet> <servlet> <servlet-name>DeleteFileServlet</servlet-name> <servlet-class>cn.ccccltd.comm.upload.DeleteFileServlet</servlet-class> </servlet> <servlet> <servlet-name>FileDownloadServlet</servlet-name> <servlet-class>cn.ccccltd.comm.upload.FileDownloadServlet</servlet-class> </servlet> <!-- 帆软报表 --> <!-- <servlet> <servlet-name>ReportServer</servlet-name> <servlet-class>com.fr.web.ReportServlet</servlet-class> <load-on-startup>0</load-on-startup> </servlet> <servlet-mapping> <servlet-name>ReportServer</servlet-name> <url-pattern>/ReportServer</url-pattern> </servlet-mapping> --> <servlet-mapping> <servlet-name>FileDownloadServlet</servlet-name> <url-pattern>/FileDownloadServlet</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>FileUploadServlet</servlet-name> <url-pattern>/FileUploadServlet</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>DeleteFileServlet</servlet-name> <url-pattern>/DeleteFileServlet</url-pattern> </servlet-mapping> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <!-- error-page START --> <!-- 400 --> <error-page> <error-code>400</error-code> <location>/errorPage.jsp</location> </error-page> <!-- 403 --> <error-page> <error-code>403</error-code> <location>/errorPage.jsp</location> </error-page> <!-- 404 --> <error-page> <error-code>404</error-code> <location>/errorPage.jsp</location> </error-page> <!-- 500 --> <error-page> <error-code>500</error-code> <location>/errorPage.jsp</location> </error-page> <!-- error-page END --> </web-app>那你给我修改一下文件都在项目之中。
06-11
例如:<context-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring-common-config.xml,classpath:spring-budget-config.xml</param-value></context-param><listener><listener-...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值