绕过WAF：文件上传策略与技巧汇总

在当前WAF（Web应用程序防火墙）盛行的时代，文件上传成为了一个挑战，因为许多WAF系统会实施严格的文件类型检查和内容过滤，以防止恶意文件上传。本文总结了作者个人在绕过这些限制时常用的一些策略。 首先，遇到的常见问题是WAF通过检查文件扩展名来过滤上传文件。作者建议寻找那些不在黑名单之列的扩展名，如将被拦截的aspx替换为ashx或jsp尝试其他变种。以下是一些具体的技巧： 1. **删除Content-Type头部**：有些WAF依赖于Content-Type信息识别文件类型，移除它可以使检测失效。 2. **构造多个filename参数**：通过提供多个不同的文件名，可以混淆WAF的检测逻辑，如示例中的`"100x100.jsp"`后面添加双引号。 3. **畸形数据包**：改变`Content-Disposition`字段，使其看起来非标准，比如在文件名后添加额外的字符，可以诱使WAF误判。 然而，仅靠扩展名检测不足以抵御所有威胁，WAF还会检查文件内容中的特定关键词，如`exec()`和`eval()`。在过去的手段中，人们可能利用PHP的远程文件包含（Remote File Inclusion, RFI）或者Java的反射机制调用外部jar文件来绕过。然而，随着安全措施的进步，这些方法可能不再有效，因为现代WAF可能检测到这些功能性的调用。 对于内容检测，一种可能的策略是采用编码或混淆技术，使得恶意代码在解析时不会立即被识别为危险。但这种方法通常需要对WAF的具体规则有深入理解，并且可能需要不断更新以适应WAF的更新。 绕过WAF进行文件上传涉及到了对WAF工作原理的深入了解，以及灵活运用各种技术手段。随着技术的发展，WAF的防护机制也在不断进化，因此，持续学习和测试新的绕过方法是必不可少的。在实际操作中，务必遵守法律法规和道德规范，不要用于非法活动。