ASP.NET 文件上传 WAF 绕过技术分析<\/h1>

1. 前言<\/h2>
本文基于对 ASP.NET 核心文件上传处理机制的源码分析，揭示了几种可用于绕过 Web 应用防火墙(WAF)的文件上传技术。这些技术主要利用了 ASP.NET 对 HTTP 请求头解析的特殊处理方式。<\/p>

2. 环境搭建<\/h2>

示例代码展示了一个典型的 ASP.NET 文件上传处理端点：<\/p>

public<\/span> ActionResult Index() {
<\/span><\/span>    if<\/span> (Request.Files.Count > 0<\/span>) {
<\/span><\/span>        var<\/span> file = Request.Files[0<\/span>];
<\/span><\/span>        var<\/span> filename = file.FileName;
<\/span><\/span>        var<\/span> contenttype = file.ContentType;
<\/span><\/span>        var<\/span> reader = new<\/span> StreamReader(file.InputStream);
<\/span><\/span>        var<\/span> content = reader.ReadToEnd();
<\/span><\/span>        var<\/span> filepath = Request.MapPath("~\/"<\/span>) + filename;
<\/span><\/span>        file.SaveAs(filepath);
<\/span><\/span>        var<\/span> resp = $"filename:{filename}\n save file path:{filepath}\n file content:{content}\n file content type:{contenttype}"<\/span>;
<\/span><\/span>        return<\/span> Content(resp);
<\/span><\/span>    } else<\/span> {
<\/span><\/span>        return<\/span> Content("no file"<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>3. 核心处理流程分析<\/h2>
文件上传处理的核心类位于 System.Web.HttpMultipartContentTemplateParser.Parse()<\/code> 函数：<\/p>
internal<\/span> static<\/span> MultipartContentElement[] Parse(HttpRawUploadedContent data, int<\/span> length, byte<\/span>[] boundary, Encoding encoding) {
<\/span><\/span>    HttpMultipartContentTemplateParser httpMultipartContentTemplateParser = new<\/span> HttpMultipartContentTemplateParser(data, length, boundary, encoding);
<\/span><\/span>    httpMultipartContentTemplateParser.ParseIntoElementList();
<\/span><\/span>    return<\/span> (MultipartContentElement[])httpMultipartContentTemplateParser._elements.ToArray(typeof<\/span>(MultipartContentElement));
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>调用层级关系为：<\/p>
Request.Files → FillInFilesCollection() → GetMultipartContent() → Parse()
<\/code><\/pre>
4. 关键绕过技术<\/h2>
4.1 Content-Type 头绕过<\/h3>
在 FillInFilesCollection()<\/code> 中，content-type<\/code> 必须以 multipart\/form-data<\/code> 开头，但有以下特性：<\/p>

可以使用 Unicode 空白字符（如 \u0085<\/code>）作为分隔符<\/li>
可以添加任意参数<\/li>
<\/ol>
有效构造示例<\/strong>：<\/p>
Content-Type: multipart\/form-data\u0085,boundary=aaa
<\/code><\/pre>
4.2 Boundary 提取机制<\/h3>
GetMultipartBoundary()<\/code> 函数处理 boundary 参数：<\/p>
private<\/span> byte<\/span>[] GetMultipartBoundary() {
<\/span><\/span>    string<\/span> text = HttpRequest.GetAttributeFromHeader(this<\/span>.ContentType, "boundary"<\/span>);
<\/span><\/span>    if<\/span> (text == null<\/span>) {
<\/span><\/span>        return<\/span> null<\/span>;
<\/span><\/span>    }
<\/span><\/span>    text = "--"<\/span> + text;
<\/span><\/span>    return<\/span> Encoding.ASCII.GetBytes(text.ToCharArray());
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>GetAttributeFromHeader<\/code> 是关键函数，它：<\/p>

使用分号、逗号和等号作为分隔符<\/li>
根据字符集忽略一些空白字符<\/li>
<\/ul>
4.3 Content-Disposition 头绕过<\/h3>
ParsePartHeaders<\/code> 函数解析 Content-Disposition<\/code> 和 Content-Type<\/code> 头：<\/p>

先以冒号分割，取冒号后的部分<\/li>
ExtractValueFromContentDispositionHeader<\/code> 函数会自动加上分号和等号<\/li>
<\/ol>
有效构造示例<\/strong>：<\/p>
Content-Disposition:\u0;asdas\u0085d;085filename=11.aspx
Content-Disposition:filename=11.aspx
Content-Disposition:aaaaaaaaaaafilename=11.aspx;aaaaaaaaa
<\/code><\/pre>
关键特性：<\/p>

form-data<\/code> 字段可以省略<\/li>
可以在 filename<\/code> 和 name<\/code> 前随意填充字段<\/li>
filename<\/code> 和 name<\/code> 后必须跟随等号<\/li>
末尾可以有分号标识结束<\/li>
可以使用 Unicode 空白字符（如 \u0085<\/code>），通常放在两侧会被 Trim()<\/code> 去除<\/li>
<\/ul>
4.4 Name 字段处理<\/h3>
Request.Files[0]<\/code> 的 name 字段处理特性：<\/p>

忽略大小写<\/li>
Request.Files[0]<\/code> 和 Request.Files["file"]<\/code> 两种写法在绕过时可能有差异<\/li>
<\/ul>
5. 完整绕过示例<\/h2>
一个构造的完整请求示例可能包含以下特征：<\/p>

使用特殊空白字符分隔头字段<\/li>
在关键字段前添加干扰字符<\/li>
省略非必要字段<\/li>
使用 Unicode 字符干扰解析<\/li>
<\/ul>
6. 防御建议<\/h2>

严格验证 Content-Type<\/code> 头格式<\/li>
对文件名进行严格的白名单验证<\/li>
处理前规范化所有头字段，去除特殊字符<\/li>
实现多层次的防御机制，而不仅依赖 WAF<\/li>
关注 ASP.NET 安全更新，及时修补解析漏洞<\/li>
<\/ol>
通过理解这些绕过技术的原理，开发人员和安全工程师可以更好地设计防御策略，防止恶意文件上传攻击。<\/p>

ASP.NET 文件上传 WAF 绕过技术分析<\/h1>

1. 前言<\/h2> 本文基于对 ASP.NET 核心文件上传处理机制的源码分析，揭示了几种可用于绕过 Web 应用防火墙(WAF)的文件上传技术。这些技术主要利用了 ASP.NET 对 HTTP 请求头解析的特殊处理方式。<\/p>

4. 关键绕过技术<\/h2>

1. 前言<\/h2>
本文基于对 ASP.NET 核心文件上传处理机制的源码分析，揭示了几种可用于绕过 Web 应用防火墙(WAF)的文件上传技术。这些技术主要利用了 ASP.NET 对 HTTP 请求头解析的特殊处理方式。<\/p>