绕过阿里云WAF与某不知名WAF的双WAF上传Getshell技术分析<\/h1>

0x00 前言<\/h2>
本文详细记录了一次成功绕过阿里云WAF与某不知名WAF双重防护的文件上传漏洞利用过程。通过多种技术手段的组合，最终实现了webshell的上传与执行。<\/p>

0x01 环境分析<\/h2>

目标环境特点：<\/p>

存在后台任意文件上传漏洞<\/li>
部署了阿里云WAF作为第一层防护<\/li>

存在第二层未知WAF防护（在绕过阿里云WAF后触发502错误）<\/li> <\/ul>

0x02 初始绕过尝试<\/h2>

作者首先尝试了常见的WAF绕过技术，均告失败：<\/p>

大包绕过<\/strong>：数据量过大导致无响应<\/li>
单双引号绕过<\/strong>：失败<\/li>
复写filename<\/strong>：失败<\/li>
换行绕过<\/strong>：失败<\/li>
修改boundary<\/strong>：失败<\/li>

文件名fuzz<\/strong>：失败<\/li> <\/ol>
0x03 关键绕过技术<\/h2>
3.1 阿里云WAF绕过<\/h3>
初始payload<\/strong>：<\/p>
Content-Disposition: form-data; name="aaa"; ;filename="a.txt",filename="a.txt",filename="a.txt",...[重复多次]...,filename="a.php" <\/code><\/pre> 发现：<\/p> 只有分号后的第一个filename<\/code>被有效识别<\/li> 虽然最终上传的是txt文件，但成功绕过了WAF检测<\/li> <\/ul> 改进payload<\/strong>：<\/p> Content-Disposition: form-data; name="aaa";,filename="a.txt";;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;...[大量分号]...;;;;;;;;filename="a.php"; <\/code><\/pre> 意图使前面的filename失效，让最后一个filename生效<\/li> 仍被拦截<\/li> <\/ul> 关键发现<\/strong>：<\/p> 当filename中的文件名被换行分割并在最后一行加入冒号时： Content-Disposition: form-data; name="head_portrait";filename="a.p hp": <\/code><\/pre> 会将.p<\/code>作为文件后缀上传<\/li> 不加冒号则被WAF拦截<\/li> <\/ul> <\/li> <\/ul> 最终绕过阿里云WAF的payload<\/strong>：<\/p> Content-Disposition: form-data; name="aaa";,filename="a.t xt":;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;...[大量分号]...;;;;;;;;filename="a.php"; <\/code><\/pre> 3.2 第二层WAF绕过<\/h3> 发现：<\/p> 使用php后缀返回502错误<\/li> 使用txt后缀可正常上传，确认存在第二层WAF<\/li> <\/ul> 绕过方法<\/strong>：<\/p> 增加多个无效的filename参数<\/li> <\/ul> Content-Disposition: form-data; name="aaa";,filename="a.t xt":,filename="a.txt",filename="a.txt",...[多个重复]...,filename="a.txt";;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;...[大量分号]...;;;;;;;;filename="a.php"; <\/code><\/pre> 3.3 文件内容绕过<\/h3> 成功绕过双WAF后，发现阿里云WAF还会检测文件内容：<\/p> 尝试使用垃圾字符填充<\/li> 测试多个不同的webshell payload，直到找到可用的<\/li> <\/ol> 0x04 技术总结<\/h2> 关键绕过点<\/h3> filename参数污染<\/strong>：通过大量重复和无效的filename参数混淆WAF检测<\/li> 特殊符号利用<\/strong>：使用冒号和分号改变解析逻辑<\/li> 文件名分割<\/strong>：通过空格分割文件扩展名（如a.p hp<\/code>）<\/li> 多WAF分层绕过<\/strong>：针对不同WAF层采用不同策略<\/li> <\/ol> 防御建议<\/h3> 服务端应严格校验文件上传的：<\/p> Content-Disposition头部格式<\/li> 文件名合法性（去除多余参数和符号）<\/li> 文件内容类型（结合MIME和扩展名）<\/li> <\/ul> <\/li> WAF规则建议：<\/p> 检测异常的重复参数<\/li> 分析完整的请求解析逻辑而非简单模式匹配<\/li> 对特殊符号组合进行防护<\/li> <\/ul> <\/li> <\/ol> 0x05 结论<\/h2> 本案例展示了即使面对阿里云等成熟WAF产品，通过深入分析请求解析逻辑和创造性构造payload，仍有可能实现绕过。这强调了纵深防御和安全开发实践的重要性，不能仅依赖WAF作为唯一防护手段。<\/p>

绕过阿里云WAF与某不知名WAF的双WAF上传Getshell技术分析<\/h1>

0x00 前言<\/h2> 本文详细记录了一次成功绕过阿里云WAF与某不知名WAF双重防护的文件上传漏洞利用过程。通过多种技术手段的组合，最终实现了webshell的上传与执行。<\/p>

0x03 关键绕过技术<\/h2>

0x04 技术总结<\/h2>

0x05 结论<\/h2> 本案例展示了即使面对阿里云等成熟WAF产品，通过深入分析请求解析逻辑和创造性构造payload，仍有可能实现绕过。这强调了纵深防御和安全开发实践的重要性，不能仅依赖WAF作为唯一防护手段。<\/p>

0x00 前言<\/h2>
本文详细记录了一次成功绕过阿里云WAF与某不知名WAF双重防护的文件上传漏洞利用过程。通过多种技术手段的组合，最终实现了webshell的上传与执行。<\/p>

0x05 结论<\/h2>
本案例展示了即使面对阿里云等成熟WAF产品，通过深入分析请求解析逻辑和创造性构造payload，仍有可能实现绕过。这强调了纵深防御和安全开发实践的重要性，不能仅依赖WAF作为唯一防护手段。<\/p>