序言

10月初秋某周末,夜微凉,一鼠标,一键盘,一杯枸杞茶还散发着余温。
韶光是凌晨1点06分,在一顿乱搜索加乱拼凑的情形下,意外绕过了某盾云WAF加360网站卫士防护的网站,我以为该当记录下这个有趣的故事。

PS:目标站是SRC平台上的一个小站,截至投稿前,已将漏洞提交并验证已经修复,各位表哥就不用费心去找有没有打码漏点的图暴露了目标站点,再去做测试啥的了。

fck编辑器jsp版getshell记一次文件上传 Bypass WAF实战 JavaScript

信息网络

域名:http://xxx.xxx.cn/

做事器:Windows2008 R2

中间件:IIS7.5 (404报错)

脚本:

php(通过分别访问index.asp、index.php、index.aspx、index.jsp)

数据库:mysql(猜的)

访问主页页面如下:

以上报错界面为iis7/7.5

接下来登录框SQL注入考试测验一下

如上拦截解释存在云WAF,绕过云WAF的思路为找到真实IP,方法有如下:

1、查找域名历史解析。
(测试未果)

2、注册邮件。
(并没有注册功能)

测试了一段韶光探求真实IP未果,夜很静,心很凉。
一口枸杞茶入我心,理理思路,顺手翻翻根本条记,创造了网站渗透终极心法。

故此处先放一放WAF,接下来的思路是先找学号或者工号进行爆破,看能不能登录管理界面进行下一步测试,只是单一个登录前台可以测试的内容很有限。

科学上网谷歌hack语法跑一下

Site:xxx.cnintext:工号 (查找所有有关域名包含工号的内容)

还好没让我失落望,找到了工号为1420的账户,此为另一个子站的信息,但工号该当是通用的。

通过工号位数可以定义字典进行爆破,登录处无验证码。

登录爆破

上述获取了工号信息,以下进行定义字典

此处定义了90个进行爆破测试,由于存在云WAF,爆破时需调低线程及加大发包间隔韶光。

如上成功爆破出工号密码相同的账号

用户:1422

密码:1422

进行登录

文件上传

如上成功登录了西席的管理界面,探求上传点,找到了一个fckeditor编辑器。
如下

Fckeditor漏洞如下:

1、遍历目录,此处测试不存在。

2、文件名+iis6解析漏洞,此处为iis7。

3、upload.php任意文件上传,测试不存在。

4、fckeditor2.6.4 任意文件上传漏洞,测试未复现

且在测试上传时,创造只要存在php等危险后缀就会被该WAF拦截

BypassWAF

5.1Bypass 云WAF

于是在上述拦截后,我一顿乱搜索,创造以下布局畸形要求包的方法

在boundary=空格----WebKitForxxxxxxxx

即可绕过云WAF,如下

此时创造已经绕过了云WAF,但此时的报错页面999NO Hacking 是360网站卫士的拦截报错。
我一摸我的枸杞茶都凉了,但还是得连续啊,于是又一通乱搜索。

5.1Bypass 360网站卫士

还是让我找到了方法filename=”log.回车php”

如上,已经绕过了云WAF及网站卫士,但是由于FCKeditor不支持上传该后缀文件,故返回202,如支持的后缀会返回如下

链接:

http://xxx.xxx.cn/uploadfiles/images/image/oo(1).gif

访问则是可爱的emoji

当然扯了半天不可能只是为了上传这个emoji的,在测试了fck无法打破时,还创造了其余一处上传点。

网站getshell

另一处上传点如下,上传附件的

利用上述的方法成功绕过,上传了php脚本,激动民气的时候。

返回路径为:

/uploadfiles/upfiles/201810230102325065.php

拼接访问:

http://xxx.xxx.cn/uploadfiles/upfiles/201810230102325065.php

纳尼?没上传成功吗?

于是访问http://xxx.xxx.cn/uploadfiles/

存在

再访问http://xxx.xxx.cn/uploadfiles/upfiles/

不存在

在这里纠结测试了良久,乃至都登上了其余一个账号去看发布的通知布告,但通知布告里确实没有附件的,都快疑惑实际并未上传成功了。

但后来一个小细节,让我有了创造,如下

Referer:

http://xxx.xxx.cn/newe2014/

拼接访问:

http://xxx.xxx.cn/newe2014/uploadfiles/upfiles/201810230102325065.php

完美的空缺页面,免杀的客户端shell

通过神器进行连接测试

成功获取网站webshell

获取权限

网络查看系统的信息,创造虽然有360主机卫士,但没有打补丁,依据当年的打算机根本操作知识,小小提权一下。

由于做事器是在内网,需建立代理才能进行连接

如上,成功Bypass云WAF获取该做事器权限。