web渗透--64--常见的WAF绕过方法

本篇文章通过网络架构层HTTP协议层第三方应用层讲解了绕过WAF的常见方法

一、网络架构层

一般通过域名指向云WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。

具体方法如下:

1、查找相关的二级域名及同一域名注册者的其他域名解析记录。

2、通过查看邮件MX解析记录来发现真实服务器的IP记录或网段,例如:

windows可以执行命令:

nslookup -qt=mx baidu.com

Linux可以执行如下命令来查看baidu.com域名的MX解析IP地址

dig mx baidu.com

3、查看域名的历史解析记录。实现该操作的网站:

https://securitytrails.com/

4、使用zmap等快速扫描工具对全网IP进行扫描以找到网站真实IP。

5、利用SSRF漏洞反向连接的IP获取网站真实IP。

二、HTTP协议层

可以利用WAF、web server、web语言解析引擎这三方对标准HTTP解析的差异来实现绕过。

具体绕过的方法如下:

1、利用某些硬件WAF对SSL加密算法的支持不够进行绕过。

参考文章:通过滥用SSL / TLS绕过Web应用程序防火墙
对应的测试脚本:abuse-ssl-bypass-waf

2、利用HTTP协议版本来进行绕过

HTTP发展至今,已由1991年的0.9版发展到2015年的2.0版,由于不支持相关协议的WAF在解析数据包时会出问题,因此通过发送不同版本协议的粘包即可绕过某些WAF。

3、利用URL编码、charset编码、MIME编码等进行绕过。

IIS ASP支持类似Unicode %u0027的编码,还会对不合法的URL编码进行字符删除。IIS ASP对s%elect编码的处理结果为select,而Nginx的ngx_unescape_uri函数对它的解码结果为slect。Nginx的ngx_unescape_uri函数在处理%编码时,如果%后面的第一个字符不在十六进制范围内,则会丢弃%;否则判断第二个字符是否在十六进制范围内,如果不在则会丢弃%第一个字符

HTTP请求头Content-Typecharset编码可以指定内容编码,这个值一般都是UTF-8编码的,但恶意攻击者可以指定使用ibm037ibm500cp875ibm1026等不常用的编码来进行绕过。例如,可以设置Content-Type头的值为application/x-www-form-urlencoded;charset=ibm500multipart/form-data;charset=ibm500,boundary=blah等。这里使用Burpsuite的HTTP Request Smuggler插件可以简化数据包的修改操作。

在Spring中,如果上传的文件名以=?开始并以?=结束,则调用MimeDelegate.decode来对文件名解码。MIME是邮件协议中用到的编码方式,这里我们可以将上传文件名改为=?UTF-8?B?YS5qc3A=?=,UTF-8代表字符编码,?B?代表后面的YS5qc3A=是base64编码的。经过Spring解码得到的文件名是a.jsp,而一般的WAF如果之前没有经过处理,那么就会出现在WAF中上传文件名过滤被绕过的问题。

4、利用对上传协议multipart/form-data的不规范解析进行绕过。

以PHP Web Server对multipart/form-data的解析作为例子。

由于该协议对PHP对解析存在缺陷,使得如果一行有多个filename字段值,则PHP Web Server会取最后一个filename值,如下所示:

Content-Disposition: form-data; name="file1"; filename="a.txt"; filename="a.php";

PHP Web Server最终得到的文件名是a.php,而某些WAF只判断第一个filename的值,因此WAF对上传的文件的过滤检测功能会被黑客绕过,并且这里的form-data可有可无,将其去掉也不影响PHP Web Server获取filename

此外,filename的编码还受HTTP请求Content-Type头中charset的影响,PHP Web Server可以根据这个值进行解码处理。这些都有可能被一些人稍微做点手脚,便可以绕过不少WAF的文件上传过滤检测功能。

5、其他协议的绕过

URI解析绕过:
有些WAF可以处理对URI不兼容的绕过,如:

GET /xxx/a.jsp?x= &id=union%20all%20select%20@@version HTTP/1.1

将HTTP原始数据包的"x="后面设置为空格,某些硬件WAF就会忽略后面的&id=union%20all%20select%20@@version参数从而绕过WAF。

还可以利用一些较少用到的HTTP处理来绕过,例如在HTTP请求body chunked编码时进行注释及变形。

利用HTTP Host头也可以绕过一些基于域名防护的WAF,一般的Host头字符串中不包含端口信息,如":80"":443",域名也可以用本地Host来代替,可以有如下写法:

Host: localhost:80
Host: 127.0.0.1:80

除此外,基于协议的绕过还有很多,如HPP复参绕过、参数名的特殊字符转换绕过等。

三、第三方应用层

第三方应用层主要有数据库、系统命令、第三方组件等组成部分。下面对这3部分的绕过进行具体说明。

1、数据库的绕过

数据库的绕过方式极多,有注释绕过、编码绕过、不同数据库对空格的不同定义绕过等。

利用MySQL的版本号注释(/*!)功能绕过WAF的情况最多,还有一些方法也可以绕过WAF,比如,利用0xA0代替空格也能绕过一些WAF,利用\N.e浮点等特殊用法绕过WAF(绕过一些如union的关键字),以及利用&&代替and等关键字和大括号注释(如union select{x 1},xx)绕过WAF等。

在MySQL中,从0x010x0F的字符都可以代表空格。通过注释加换行也可以绕过一些WAF过滤,比如,1%23%0AAND%23%0A1=1%23经过URL解码后是#字符,#字符是MySQL中的注释符,%0A经过URL解码后是换行符);还有利用"."":"特殊符号进行绕过的,如:

union select xx from.table
union select:top 1 from
and:xx

另外,利用exec编码也可以绕过关键字,如:

and 1=0;declare @S varchar(4000) set @S=cast(0x44524f50205441424c4520544d505f44423b as varchar(4000));exec(@S);--

更多有关数据库的绕过可以参考sqlmap的temper插件,插件地址为:https://github.com/sqlmapproject/sqlmap/tree/master/tamper

2、系统命令的绕过

cat /etc/passwd命令为例,在Linux bash环境下去掉空格的写法如下:

cat

ping baidu.com为例,在windows中替换空格的写法如下:

ping%CommonProgramFiles:~10,-18%baidu.com
ping%PROGRAMFILES:~10,-5%baidu.com

在Linux的bash环境下想要绕过关键字,则可以插入成对的单引号、双引号或反引号,其中反引号必须连着写,比如可以将cat /etc/passwd写为以下形式:

c'a't /etc/pass''wd
c""at /e't'c/pass""wd
c""at /e't'c/pas``s``wd

另外,也可以在shell命令的任意位置插入$@,或者在单词结尾处插入$x,这里的x可以是任意字母,例如可以写成如下形式:

c$@at /e$@tc/pas$@swd
cat$x /etc$x/passwd$x
ca$@t /etc$x/passwd$x

若通过编码绕过关键字,则可以将cat /etc/passwd进行base64编码,写法如下:

echo Y2F0IC9ldGMvcGFzc3dk|base64 -d|sh

若通过通配符绕过关键字,则linux bash的通配符与windows的类似,支持使用?代表单个字符和使用*代表多个字符的写法,如/bin/cat /etc/passwd命令可以有以下写法:

/b??/ca? /e?c/pas?wd
/b*/ca* /et*/pas*d
/b??/ca* /e?c/pas*d

除此之外,还可以通过一些脚本执行引擎,如perl、python、nodejs、php、java等来绕过WAF关键字,相关写法如下:

perl -e '$a="ca";$b="t /et";$c="c/pas";exec($a.$b.$c."swd");'
python -c 'import subprocess;subprocess.call(["ca"+"t","/et"+"c/pa"+"sswd"]);'
php -r 'exec("ca"."t /et"."c/pa"."sswd");'

3、第三方组件的绕过

一般来说,WAF会用到的第三方组件有PCRE、ISAPI、Libinjection等。

PCRE在处理正则表达式时,为了防止ReDoS正则表达式拒绝服务攻击,提供了PCRE_EXTRA_MATCH_LIMITPCRE_EXTRA_MATCH_LIMIT_RECURSION选项来限制匹配次数。PCRE_EXTRA_MATCH_LIMIT的值默认为100万,PCRE_EXTRA_MATCH_LIMIT可以限制匹配的总次数;而PCRE_EXTRA_MATCH_LIMIT_RECURSION主要限制匹配递归次数,并不是所有匹配都存在递归,所以该值在小于PCRE_EXTRA_MATCH_LIMIT值时才有意义。

有些WAF为了防止ReDoS都会将PCRE_EXTRA_MATCH_LIMIT设置为比默认值更小的值,加入将WAF过滤SQL语句的正则表达式写成:

/UNION.+?SELECT/is

而此时PCRE_EXTRA_MATCH_LIMIT的值为100万,那么要绕过WAF过滤防护的SQL语句可以写成:

union/*aaa……a*/select

这里被注释掉的字符a有100万个,很容易满足PCRE_EXTRA_MATCH_LIMIT的值为100万的限制条件,而且这些字符的数据量大小不到1MB,不会占用太多空间。根据此方法可以绕过很多类似的WAF正则规则。

ISAPI是IIS提供的一套编写API的插件,ISAPI filter可以对请求头中的数据进行过滤,ISAPI extension可以获取请求的body数据,对应的原型为HttpExtensionProc(EXTENSION_CONTROL_BLOCK*pECB)。这里可以通过pECB->lpbData获取到post请求的body部分的数据,但最大只能存储48kb的数据。总的大小可以通过pECB->cbTotalBytes获取,超过48kb的数据的同步函数调用方式可以通过pECB->ReadClient(...)获取,异步函数调用方式可以通过pECB->ServerSupportFunction(...,HSE_REQ_ASYNC_READ_CLIENT,...)获取。

但是,这样在ISAPI插件的WAF中读取超过48kb的数据会导致后面的ASP获取不了多于48kb的数据,因此很多基于ISAPI的IIS WAF都可以通过把攻击数据放到48kb外而绕过WAF防护。如果某post参数id存在SQL注入,那么我们可以填充48kb的无用数据后再写注入语句,如下所示:

x=aaa...a&id=1%20union%20all%20select%201,1,1,1@@version,1

其中,上面的a字符所占用的空间超过了48kb

Libinjection被应用于很多WAF中,知名的有modsecurity。因为Libinjection只是对SQL语句进行标签化(token化),然后对被标签化的字符串进行匹配,所以同一种绕过方法通常可以绕过很多SQL注入语句的过滤规则。

利用不常用的SQL函数可以绕过Libinjection过滤,比如用mod(3,2)代替1的SQL语句可以写为:

mod(3,2) union select mod(3,2),usr,pwd from user --

通过使用Fuzz测试技术也可以绕过Libinjection过滤,例如插入1<@到SQL语句中可以绕过Libinjection防护,此方法也可以绕过某些WAF的SQL注入语义检测引擎。相关的Python脚本地址为:https://waf.ninja/libinjection-fuzz-to-bypass/

通过大括号也可以绕过Libinjection过滤,MySQL支持{identifier expr}这种兼容ODBC的转义写法,对应的可绕过Libinjection过滤的SQL语句如下所示:

1'<@=1 or {x (select 1)} --
1 and{`if`updatexml (1,concat (0x3a,(select /*!50000(/*!50000schema_name) from/*!50000information_schema*/.schemata limit 0,1)),1)} -- 

四、总结

总的来说,在WAF上只要善于挖掘,总能找出各式各样的绕过方法。

你可能感兴趣的:(web渗透)