跟Waf斗智斗勇的一天

差点心态爆炸幸亏整出来了...

最近快放寒假了..临近高考不到最后一星期绝对不学习..

挖下SRC 这家自带的waf头疼死我了想几次Fuzz全都撞壁了

然后发现了这家waf的规则

信息搜集不说了起手一堆子域名

由于我是用的叼毛表哥自改的fofa脚本是excel的我习惯一个一个从下开始测得

我先知道这个waf 是因为再整其他资产的时候就有这个Waf 而且他其他资产很多还是去跳到主站完成功能

开始测试

打开第一个

一个体验平台找到反馈意见要是在这整出来一个XSS 到后台不就是存储了??

不知道反正我现在是这样想的但是现实估计会给我一个self 丢噢

常规来一发

毫无疑问没有触发waf 但是过滤了

我在这里尝试了多写虽然成功绕过了img 但是<>没有绕过

然后有一个上传图片的功能点击提交的时候一处imageurl使我眼前一亮

肯定SSRF 尝试一下但是我又想多了

毫无疑问肯定做了校验

然后我就去@ . xip.io 各种常见绕过手法都回显问题录入成功，毫无疑问肯定没有请求然后我就去查看一下自己提交的吧

F12 看了一下好家伙 XSS有点希望

这居然把我传进去的正常带入进去了

毫无疑问img标签我肯定首先尝试onerror

imgUrlA=http://url/x.jpg" onerror=alert(1)><!--

嗯看见这熟悉的403

突然想起来他有waf了我丢

唉我当时心灰意冷啊把各位表哥教我的XSS姿势都去尝试了一下虽然成功绕过了alert的检测但是也只是绕过了单alert 后面跟()还是会拦截

求助下叼毛表哥

无果

去搜下bypass XSS的文章基本都是编码绕过但是我这个是卡在image标签内的

慢慢再测测把...

参数污染.. 接着测试

POST /path HTTP/1.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0

Accept: application/json, text/javascript, */*; q=0.01

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Content-Length: 333

Connection: close

Cookie: 

customerId=7342726673&customerIdentity=1&utm=001&phoneNumber=15666571211&problemSource=0005&problemDescribe=%25E6%25B5%258B%25E8%25AF%2595&imgUrlA=http://url/1.html&imgUrlA=http://url/221.jpg" onclick=alert(1)><!--&imgUrlB=&imgUrlC=&browserVersion=5.0+(Windows)&deviceOS=Firefox+84.0

熟悉的403 页面 Waf出现我丢噢

这是准备放弃了但是脑子里又走了一遍知道的Bypass Waf的手法

change request method

不行

山重水复疑无路，柳暗花明又一村

突然我想起来了前段时间鸡哥带我Bypass一个Waf用的畸形解析

当然这里没用到畸形解析这东西哈哈

修改主体编码 嗯我TM真的要哭了过了(因为再过会就要睡觉了明儿又是迟到要被老师骂的一天)

赶快去查看

没有弹窗.. 难道那里操作有问题 F12看下

我擦变成了a标签应该是注释的缘故导致后面的代码没有正常使用我们删除注释标签试一下

成功弹窗

这时我又想到a标签居然变成了a标签 ok onclick走起

------WebKitFormBoundaryfLGQtrgI

Content-Disposition: form-data; name="imgUrlA"

http://xxx.target.com/ueip/ueip-img/1.jpg" onclick=alert(/Muxue/)>here</a><!--

成功出洞唉

后续又出了几个XSS 这个手法是通杀他这个waf的

2021.1.25 修改未打码的地方 淦