记一次JS到WAF绕过上传
ddwGeGe 发表于 山东 渗透测试 1772浏览 · 2024-07-27 09:21

一、前言

某渗透项目中和队友配合挖到一个通用系统漏洞,主要对JS接口进行分析,经历一波绕waf的曲折最终getshell,文笔粗劣,大佬勿喷。

二、JS分析

在看到某系统仅仅一个登陆框,一波弱口令尝试和目录扫描,啥也没有。

队友通过JS分析发现大量接口,主要是跟着师傅的思路走一遍,不得不说如果没有这个JS接口基本很难有啥成果了(状态码带200的都是可访问的接口文件,这里有一个坑点,后面讲)

对每一个接口进行访问测试,期间发现如SQL注入漏洞,文件读取等,举例

对其进行解码,本质就是读取一个盘符的文件,修改为其他文件即可实现任意文件读取

由于是通用,按理说其他系统接口也存在,但奇怪的是,一访问接口,就跳转到404或者登陆框,一度认为漏洞难道已修复,有不同的版本

但经过实际测试,发现某些系统单独访问接口虽然是404,但漏洞依然存在,也是醉了(目前不清楚啥原因,不得不说 不能被表面现象所迷惑 还是一个一个测试最稳)

在测试另一个系统的时候,发现没有那么一帆风顺,遇到了waf,只能硬刚了,该上传接口也是前面JS分析得知,直接访问就出现页面了。

虽然有上传功能点,但点击上传是没有啥用的,直接F12,看看上传表单,自行构造就行

上传普通的txt文件,一切顺利,且返回具体的路径,访问也一切正常(相信师傅们也注意到有一个location跳转到登陆,但从返回包可以看到的确存在文件上传漏洞)

开始上传aspx,直接被重置

三、Bypass上传getshell

经过一番折腾,最终用以下方法可以bypass

Content-Disposition: form-data; name="file"; filename="aaaaaa.txt"
Content-Disposition: form-data; name="file"; filename="aaaaa.aspx"

多个filename=也可bypass

解决了后缀问题,尝试内容绕过,默认的webshell直接被重置,使用py脚本先生成大量的字符,用来填充

前后不断填充字符来绕

最终成功getshell

查查杀软情况

最后感谢团队师傅(@cl)的指导和帮助,总结下来测试还是得仔细,慢慢来。

9 条评论
某人
表情
可输入 255
目录