WAF Bypass 文件上传绕过技术详解<\/h1>

0x00 前言<\/h2>
文件上传WAF绕过技术需要结合实战经验与系统特性，本文总结了文件上传WAF检测的关键点及多种绕过方法。<\/p>

0x01 WAF检测点分析<\/h2>

WAF通常会检查以下内容：<\/p>

请求的URL<\/li>
Boundary边界<\/li>
MIME类型<\/li>
文件扩展名<\/li>

文件内容<\/li> <\/ul>

常见扩展名黑名单<\/h3>

asp|asa|cer|cdx|aspx|ashx|ascx|asax
php|php2|php3|php4|php5|asis|htaccess
htm|html|shtml|pwml|phtml|phtm|js|jsp
vbs|asis|sh|reg|cgi|exe|dll|com|bat|pl|cfc|cfm|ini
<\/code><\/pre>
测试前准备工作<\/h3>

确认环境信息：

语言(PHP\/ASP\/JSP等)<\/li>
容器(Apache\/IIS\/Nginx等)<\/li>
系统(Windows\/Linux)及版本<\/li>
<\/ul>
<\/li>
确认上传限制：

允许上传的文件格式<\/li>
是否允许任意类型文件上传<\/li>
<\/ul>
<\/li>
确认文件处理方式：

是否会被重命名<\/li>
是否进行二次渲染<\/li>
<\/ul>
<\/li>
<\/ol>
0x02 容器特性绕过<\/h2>
Apache解析漏洞<\/h3>

版本<\/strong>：1.X & 2.X<\/li>
原理<\/strong>：从后向前识别扩展名，直到遇见可识别的扩展名<\/li>
示例<\/strong>：shell.php.xxx<\/code>可能被解析为PHP文件<\/li>
<\/ul>
IIS6.0解析漏洞<\/h3>


目录解析<\/strong>：<\/p>

目录名包含.asp<\/code>、.asa<\/code>、.cer<\/code>时，该目录下所有文件按ASP解析<\/li>
示例：\/upload.asp\/shell.jpg<\/code>会被当作ASP执行<\/li>
<\/ul>
<\/li>

分号截断<\/strong>：<\/p>

文件名包含.asp;<\/code>、.asa;<\/code>、.cer;<\/code>优先使用ASP解析<\/li>
示例：shell.asp;.jpg<\/code>会被当作ASP执行<\/li>
<\/ul>
<\/li>
<\/ol>
Nginx解析漏洞<\/h3>


版本<\/strong>：0.5., 0.6.<\/em>, 0.7 <= 0.7.65, 0.8 <= 0.8.37<\/p>

示例：上传shell.jpg<\/code>，访问shell.jpg.php<\/code><\/li>
<\/ul>
<\/li>

版本<\/strong>：0.8.41 - 1.5.6<\/p>

示例：上传shell.jpg<\/code>，访问shell.jpg%20.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
PHP CGI解析漏洞<\/h3>

环境<\/strong>：IIS 7.0\/7.5或Nginx < 0.8.3<\/li>
条件<\/strong>：cgi.fix_pathinfo=1<\/code><\/li>
方法<\/strong>：上传shell.jpg<\/code>，访问shell.jpg\/shell.php<\/code><\/li>
<\/ul>
多Content-Disposition绕过<\/h3>

原理<\/strong>：IIS取第一个Content-Disposition，WAF可能取最后一个<\/li>
示例<\/strong>：
Content-Disposition: form-data; name="file"; filename="shell.asp"
Content-Disposition: form-data; name="file"; filename="shell.jpg"
<\/code><\/pre>
<\/li>
<\/ul>
非常规请求格式<\/h3>

示例<\/strong>：
Content-Type: application\/octet-stream
Content-Disposition: form-data; name="file"; filename="shell.asp"
<\/code><\/pre>
<\/li>
<\/ul>
.htaccess利用<\/h3>

方法<\/strong>：上传包含以下内容的.htaccess<\/code>文件：
AddType application\/x-httpd-php .jpg
<\/code><\/pre>
<\/li>
<\/ul>
0x03 系统特性绕过<\/h2>
Windows特殊字符<\/h3>

方法<\/strong>：使用ASCII > 127的字符<\/li>
示例<\/strong>：shell.php{%80-%99}<\/code><\/li>
<\/ul>
exee扩展名<\/h3>

方法<\/strong>：将.exe<\/code>改为.exee<\/code><\/li>
<\/ul>
NTFS ADS特性<\/h3>


点号截断<\/strong>：<\/p>

示例：shell.php......<\/code><\/li>
<\/ul>
<\/li>

数据流特性<\/strong>：<\/p>

示例：shell.php::$DATA<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
0x04 WAF缺陷利用<\/h2>
边界匹配不严谨<\/h3>


添加空格<\/strong>：<\/p>
Content-Type: multipart\/form-data; boundary 4714631421141173021852555099
<\/code><\/pre>
<\/li>

边界不一致<\/strong>：<\/p>

请求头与正文使用不同的boundary<\/li>
<\/ul>
<\/li>
<\/ol>
MIME类型修改<\/h3>

示例<\/strong>：修改Content-Type<\/code>为非标准值<\/li>
<\/ul>
超长数据绕过<\/h3>


超长文件名<\/strong>：<\/p>

示例：shell.asp;王王王...王王王.jpg<\/code>（大量中文字符）<\/li>
<\/ul>
<\/li>

超长Content-Disposition<\/strong>：<\/p>

构造超长的header字段<\/li>
<\/ul>
<\/li>
<\/ol>
其他技巧<\/h3>


大小写绕过<\/strong>：<\/p>

示例：.PhP<\/code>、.aSp<\/code><\/li>
<\/ul>
<\/li>

特殊位置插入换行<\/strong>：<\/p>

在header字段中插入\n<\/code><\/li>
<\/ul>
<\/li>

双扩展名<\/strong>：<\/p>

示例：shell.php.jpg<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
0x05 30种绕过姿势总结<\/h2>

filename放在content-type下面<\/li>
.asp{80-90}<\/li>
NTFS ADS利用<\/li>
.asp...<\/li>
boundary不一致<\/li>
IIS6分号截断：asp.asp;asp.jpg<\/li>
Apache解析漏洞：php.php.ddd<\/li>
boundary和content-disposition间插入换行<\/li>
hello.php:a.jpg然后hello.<<<<\/li>
filename=php.php<\/li>
filename="a.txt";filename="a.php"<\/li>
name=\n"file";filename="a.php"<\/li>
content-disposition:\n<\/li>
.htaccess文件利用<\/li>
a.jpg.\nphp<\/li>
去掉content-disposition的form-data字段<\/li>
PHP<5.3单双引号截断<\/li>
删除content-disposition: form-data;<\/li>
content-disposition\00:<\/li>
{char}+content-disposition<\/li>
header中content-type后加tab<\/li>
header中content-type: multipart\/form-DATA（大小写）<\/li>
后缀名大写：.PHP<\/li>
Content-Type: multipart\/form-data;\n<\/li>
.asp空格<\/li>
.asp0x00.jpg截断<\/li>
双boundary<\/li>
file\nname="php.php"<\/li>
header中content-type后加空格<\/li>
form-data字段与name字段交换位置<\/li>
<\/ol>
0x06 总结<\/h2>
文件上传WAF绕过关键在于：<\/p>

准确判断WAF拦截点<\/li>
结合后端环境特性（语言\/容器\/系统版本）<\/li>
灵活运用各种特性组合<\/li>
关注边界条件和非标准实现<\/li>
<\/ol>
实际测试中需要根据具体环境选择合适的绕过方法，并注意观察服务器响应以判断绕过是否成功。<\/p>

WAF Bypass 文件上传绕过技术详解<\/h1>

0x00 前言<\/h2> 文件上传WAF绕过技术需要结合实战经验与系统特性，本文总结了文件上传WAF检测的关键点及多种绕过方法。<\/p>

0x02 容器特性绕过<\/h2>

0x03 系统特性绕过<\/h2>

0x04 WAF缺陷利用<\/h2>

0x00 前言<\/h2>
文件上传WAF绕过技术需要结合实战经验与系统特性，本文总结了文件上传WAF检测的关键点及多种绕过方法。<\/p>