基础七-文件上传绕WAF(实战安全狗)

Delina

原文链接：基础七-文件上传绕WAF(实战安全狗)
​
1.文件上传数据包参数

​

• 
  

Content-Disposition：一般可更改 name：表单参数值，不能更改 filename：文件名，可以更改 Content-Type：文件 MIME，视情况更改我们在观察上传数据包时，一定要仔细思考，哪些数据能改，哪些数据不能修改。然后发挥自己的想象力与推理WAF的检测机制。
2.文件上传绕WAF小技巧我们去上传一个php文件，查看一下返回包，被安全狗拦截

​

2.1数据溢出-防匹配(xxx…)
我们的思路是这样的，你安全狗不是要检测吗，给你塞一堆乱七八糟的的垃圾数据，加大工作量，你是不是就不会检测了。这里我们参考上面的，哪些参数可以动，哪些参数最好不用动，在可以改动的参数中加垃圾数据。

​

这里成功上传，我这里是加了很多，加的少的话安全狗还是会检测到并拦截。
2.2 符号变异-防止匹配
我们猜想，安全狗最终的检测地方应该是我们的文件名处，他是如何定位的呢，猜想:可能是检测引号中的数据，所以我们就可以破坏引号，将前后双引号删掉或者留下一个。
​
​
2.2数据截断-防匹配(%00 ; 换行)
利用‘;’截断（被拦截）
​

利用%00截断（成功）

​

利用换行截断（失败）

​

2.3 重复数据(多次参数重复)
1.重复filename的值
​

2.filename中配合配合Content-Disposition参数混淆

​

​

这个成功的原因应该还是安全狗之检测了第一个引号里的值，没有检测第二个导致的绕过。
3.利用Content-Type参数混淆

​

2.4 配合目录命名绕过
​​
利用："/"与";"配合绕过

​

3.终极杀器-FUZZ最后，还是请fuzz出场搞一搞。

• 
  

FUZZ项目字典：https://github.com/TheKingOfDuck/fuzzDicts
1.将数据包发送给测试器，在文件名处添加变量。

​

2.导入字典(php_upload_fuzz)，1w多个，开启攻击，我们再去查看我们的文件上传的接收文件夹。（注意关掉下面的url编码）

​

​

3.大致发了200多个包，就写入了一堆可以挑能用的用，有些可以再加以自己的改编使用。

​

当然这些只是绕waf的一些常用小方法，真正实战还是要组合出击，才能打出奇效。（虽然一些办法绕安全狗不行，但是可以绕其他waf，需要我们实战慢慢测试。）
​