一次文件上传对 Token 的绕过

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

No.1 背景

在Web渗透过程中，最离不开的应该就数Burpsuit了，通过它，我们可以很方便的进行数据包的修改和重放。例如在进行sql注入时，我们需要通过不断的修改Post数据的内容来测试payload。为了防止数据包的重放，token机制被引入了代码中。

Token常见的两种功能，一种是用来代替账号密码，当你登录后，就不需要不断的去数据库查询账号密码来验证身份，只需要验证token即可（就像session），另一种是为了防止CSRF攻击，每次请求前会先向服务端请求并获得一个token,然后在会在后面的请求中带上这个值。有的token每次请求都会重新获取，而有的会持续一段时间。

就像上面说的，常见的token是用在一些敏感操作作为防御CSRF攻击的一种手段，例如，修改密码、增加用户、转账等。这边分享一个在文件上传时遇到Token限制的案例。

No.2 案例

在一处上传点，像往常一样进行上传并抓包：

抓包后看到如下请求：

竟然在文件上传点用了Token，继续抓包：

可以看到第二阶段的包才是进行上传的包，并且把第一个请求中获取到的token插入到了请求体中，放包一次，成功：

再放包一次：

这次上传失败了，说明这里token刷新了

重放了一次第一阶段的数据包，获取到新的token:

将这个token替换到第二阶段数据包的token中，这次重放又成功了：

为了能够不断重放数据包，方便我们测试，这里得想办法绕过token的限制。根据判断，这里分成三步，第一步，获取token，第二步，插入token，第三步，上传文件。由于每次上传，数据包中需要改变的地方只有token，根据这个特点，我们可以利用自动化脚本的方式来方便我们测试，既然脚本有了，再接下去我们就可以手动调试或加载字典进行愉快的fuzzing了。

关于这里的发送数据包，可以通过代码的形式将整个POST请求的数据包表示出来，当然，还有一种很偷懒（很香）的方式，调用系统curl命令执行请求就可以了。这么大个数据包，肯定有人会说，这curl的命令不得很难写吗？其实很简单，方法如下：

Burpsuit已经为我们提供了快速将数据包转换成curl命令的功能了：

curl -i -s -k -X $'POST'

接下来，上传文件的包同理，但是因为我们测试的时候是放的一张图片，这样的话会导致复制的内容很长，所以这里可以将图片的内容进行删减，例如变成这样子：

然后复制即可：

curl -i -s -k -X $'POST'

OK，命令有了，后面就是愉快的py了。这里以导入字典fuzzing为例，代码如下：

#encoding:UTF-8

最终效果如下：

这样我们就利用脚本绕过了Token限制了。

原创： 雷神众测 rebootORZ
原文链接：https://mp.weixin.qq.com/s/MSS_pBu-5Dbo7iL...