文件上传在数据包中可修改的地方

1. Content-Disposition：一般可更改

2. name：表单参数值，不能更改

3. filename：文件名，可以更改

4. Content-Type：文件 MIME，视情况更改

常见绕过WAF的方法

1. 数据溢出-防止WAF匹配(xxx...)'
2. 符号变异-防止WAF匹配（' " ;）
3. 数据截断-防止WAF匹配(%00 ; 换行)
4. 重复数据-防止WAF匹配(参数多次)

WAF绕过简单演示

我以靶场upload-labs第二关进行演示。
我们开启安全狗的上传防护:

第2关上传一个php文件,被安全狗检测到且被拦截:

php加上空格"ph p",可上传，但无法解析。

1. 垃圾数据溢出法

• filename的内容进行溢出。
  
  filename的内容进行溢出虽然可以绕过WAF但是我无法将php文件上传至服务器。
  
• name与filename之间进行溢出
  也可绕过WAF但是无法上传php文件。
  
  
• 大量垃圾数据后加“;”
  Content-Disposition与name之间的垃圾数据加上分号可绕过安全狗。
  
  可成功上传php文件
  
  经测试，name与filename之间的垃圾数据也可绕过。
  

2. 符号变异绕过

可用payload:

filename=" xx.php
filename="x x.php
filename=' xx.php
filename='x x.php

• filename的内容用单引号括起来(被拦截)
  
  显然被拦截
• filename去掉最后一个双引号(被拦截)
  
  被拦截
• filename去掉最后一个双引号，再加上分号(后缀不能被解析)
  
  可绕过，可上传，但是无法被解析
• filename去掉最后一个双引号，在文件名后缀前任意位置加空格(可行)
  
  可绕过WAF，可上传。
• 单引号与双引号一致。
• 只在末尾加双引号(被拦截)
  
• 文件名前加双引号或单引号(无法解析)
  文件名前加双引号或单引号可绕过waf，也可上传，但是无法解析。
  
• 文件名中加入图片后缀提前用分号截断

3. 数据截断绕过

可用payload：

filename="x.jpg;shell.php"
filename="x.jpg;shell.php
filename='x.jpg;shell.php
filename="shell.php%00xx.jpg" 注意%00要编码

• 文件名中加入图片后缀提前用分号截断(可行)
  原因是防护软件只检测前面的部分，一旦正确就放行，不再检测后面的
  
  同理结合符号变形可有：

filename="x.jpg;shell.php
filename='x.jpg;shell.php
·····

• 文件名中用%00url编码截断(可行)
  

4. 数据换行截断

可用payload:

x.ph
p

x.p
h
p

x.
p
h
p

x
.
p
h
p

• 直接在数据包中进行换行操作(可行)
  
  
  

5. 重复数据绕狗(参数多次)

• 重复filename
  前面的filename为可接受的文件格式，最后一个为php文件格式，前面的重复多次，可绕过。
  
• filename中配合其他参数
  配合Content-Type: image/jpeg：

6. "/"与";"配合绕过

payload:

filename="/jpeg;x.php"
filename="/jpeg;/x.php"

7. FUZZ字典配合

字典地址：

https://github.com/TheKingOfDuck/fuzzDicts
https://github.com/fuzzdb-project/fuzzdb

手工测试的话有点麻烦，我们可以借助写好的字典配合BP进行批量测试，先在本地测试好了，再在真实环境进行测试，以防会封IP。
我借助fuzzDicts的php字典进行测试。
首先将拦截的数据包发送至Intruder

清除所有变量

将filename的值设置为变量

payload加载字典：

开始攻击：

能否成功取决于字典的好坏。

安全及修复建议

1. 后端验证：采用服务端验证模式
2. 后缀检测：基于黑名单，白名单过滤
3. MIME 检测：基于上传自带类型检测
4. 内容检测：文件头，完整性检测
5. 自带函数过滤：参考 uploadlabs关卡的函数
6. 自定义函数过滤：function check_file(){}等
7. WAF 防护产品：宝塔，云盾，安全公司产品等