差点心态爆炸 幸亏整出来了…

最近快放寒假了..临近高考不到最后一星期绝对不学习..

挖下SRC 这家自带的waf头疼死我了 想几次Fuzz全都撞壁了

然后发现了这家waf的规则

信息搜集不说了 起手 一堆子域名

由于我是用的叼毛表哥自改的fofa脚本 是excel的 我习惯一个一个从下开始测得

我先知道这个waf 是因为再整其他资产的时候 就有这个Waf 而且他其他资产很多还是去跳到主站完成功能

开始测试

打开第一个

一个体验平台 找到反馈意见 要是在这整出来一个XSS 到后台 不就是存储了??

不知道 反正我现在是这样想的 但是现实估计会给我一个self 丢噢

常规来一发

毫无疑问 没有触发waf 但是过滤了

我在这里尝试了多写 虽然成功绕过了img 但是<>没有绕过

然后有一个上传图片的功能 点击提交的时候 一处imageurl使我眼前一亮

肯定SSRF 尝试一下 但是我又想多了

毫无疑问 肯定做了校验

然后我就去@ . xip.io 各种常见绕过手法 都回显问题录入成功，毫无疑问 肯定没有请求 然后我就去查看一下自己提交的吧

F12 看了一下 好家伙 XSS有点希望

这居然把我传进去的 正常带入进去了

毫无疑问img标签 我肯定首先尝试onerror

imgUrlA=http://url/x.jpg" onerror=alert(1)><!--

嗯 看见这熟悉的403

突然想起来他有waf了 我丢

唉 我当时心灰意冷啊 把各位表哥教我的XSS姿势都去尝试了一下 虽然成功绕过了alert的检测 但是也只是绕过了单alert 后面跟()还是会拦截

求助下 叼毛表哥

无果

去搜下bypass XSS的文章 基本都是 编码绕过 但是我这个是卡在image标签内的

慢慢再测测把…

参数污染.. 接着测试

POST /path HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 333
Connection: close
Cookie: 

customerId=7342726673&customerIdentity=1&utm=001&phoneNumber=15666571211&problemSource=0005&problemDescribe=%25E6%25B5%258B%25E8%25AF%2595&imgUrlA=http://url/1.html&imgUrlA=http://url/221.jpg" onclick=alert(1)><!--&imgUrlB=&imgUrlC=&browserVersion=5.0+(Windows)&deviceOS=Firefox+84.0

熟悉的403 页面 Waf出现 我丢噢

这是 准备放弃了 但是脑子里又走了一遍知道的Bypass Waf的手法

change request method

不行

山重水复疑无路，柳暗花明又一村

突然 我想起来了 前段时间 鸡哥带我Bypass一个Waf用的畸形解析

当然 这里没用到畸形解析 这东西哈哈

修改主体编码 嗯 我TM真的要哭了 过了(因为再过会就要睡觉了 明儿又是迟到要被老师骂的一天)

赶快去查看

没有弹窗.. 难道那里操作有问题 F12看下

我擦 变成了a标签 应该是注释的缘故 导致后面的代码没有正常使用 我们删除注释标签试一下

成功弹窗

这时 我又想到a标签 居然变成了a标签 ok onclick走起

------WebKitFormBoundaryfLGQtrgI
Content-Disposition: form-data; name="imgUrlA"

http://xxx.target.com/ueip/ueip-img/1.jpg" onclick=alert(/Muxue/)>here</a><!--

成功出洞 唉

后续又出了几个XSS 这个手法是通杀他这个waf的
2021.1.25 修改未打码的地方 淦