web渗透测试----31、检测到绕过web应用防火墙

WAF(web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。


文章目录

  • 一、WAF的工作原理
  • 二、WAF的常见功能
  • 三、WAF种类
  • 四、WAF的判断
  • 五、WAF的绕过
  • 六、WAF指纹
  • 七、部分WAF指纹


一、WAF的工作原理

WAF工作在web服务器之前,对基于HTTP/HTTPS协议的通信进行检测和识别。在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户的请求安全且有效,对无效或有攻击行为的请求进行阻断或隔离。
WAF的解决步骤大概可分为四部分:预备处理、标准检测、解决控制模块、系统日志记录。
  1.预备处理
  先分辨是不是HTTP/HTTPS请求,然后查询该URL请求是不是在权限以内,加入该URL请求在权限目录内,交到后端响应;没有则进行标准检验。
  2.标准检验
  不同的WAF有自有的检验规则,通过WAF标准去检验数据文件,查看是否有故意攻击行为。
  3.解决控制模块
  对于不一样的检验结果,会做出不一样的防御姿势。不同的WAF产品自定义的阻拦页面不一样,所以我们可以根据阻拦页面判断网站使用的是哪一种WAF,进而展开绕过。
  4.系统日志记录
  WAF在整个工作过程中,会将系统日志记录下来,便于分析。


二、WAF的常见功能

1、检测异常协议,拒绝不符合HTTP/HTTPS标准的请求。
  针对HTTP和HTTPS的请求进行异常检测,阻断不符合请求的访问,并且严格的限制HTTP协议中没有完全限制的规则。
2、对可疑IP进行检查
3、禁止某些IP的访问
  WAF可以指定规则,添加IP黑名单和白名单,限制IP的访问策略。
4、DDOS防护
  WAF主要通过指纹识别来对DDOS进行防护,,通过监测应用层数据对齐进行控制或者访问控制。云WAF主要利用DNS解析对网站进行DDOS防护;软件WAF主要通过监听端口或者web容器扩展的方式进行请求的检测和阻断。硬件WAF一般部署在web服务器前端,用来检测异常数据,和流量,所以在DDOS防护方面优于软件WAF。
5、防止信息泄露,保护信息安全
6、对cookies进行保护
  主要是通过加密set-cookie中的键值来保护cookie不被盗取,利用。
7、添加检测机制
  WAF可以通过在数据访问时添加csrf token,防止攻击,某些waf,会配置HSTS(由互联网工程任务组发布的互联网安全策略机制),默认使用HTTPS进行通信。
8、管理HTTP头
  X-XSS-Protection:可以在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。这些保护在很大程度上是不必要的,但是某些旧版浏览器不支持CSP(内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击),所以他可以为这些不支持CSP的进行保护。
X-Frame-Options:是用来给浏览器 指示允许一个页面 可否在 , , 或者 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 clickjacking 攻击。


三、WAF种类

1、软件型WAF
  软件型WAF是以软件的形式直接安装在服务器上的,所以他可以直接检查和他共处在服务器上的文件,软件等。可检查服务器上是否有webshell文件,是否有文件、账号等被创建。
  软件WAF对HTTP协议是自己进行解析的,所以可能存在与web服务器对HTTP请求的理解不一致导致被绕过。
常见的软件WAF:安全狗、安全卫士等,造价相对便宜。

2、硬件型WAF
  以硬件的形式部署在链路中,部署方式比较多样,串联在链路上时可以拦截恶意流量,在旁路监听模式下只记录攻击但是不进行拦截。硬件WAF是通过攻击规则库对异常流量进行识别的,所以可能存在误杀;而且它对HTTP协议是自行进行解析,所以可能存在与web服务器对HTTP请求的理解不一致导致被绕过。
  硬件WAF一般情况下部署在交换机上。
  
3、云WAF
  一般以反向代理的形式工作,通过配置NS记录或者CNAME记录,使对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说是带防护功能的CDN(内容分发网络)。
  云WAF的防护规则都处于云端,由云端负责规则的更新和维护。
  云WAF是通过将用户的DNS解析到云节点实现防护的,但是如果黑客有服务器的真是IP地址,就可以轻松绕过云WAF。
  
4、网站系统内置的WAF
  网站系统内置的WAF也可以说是网站系统内置的过滤,直接镶嵌在代码中,自由度比较高。一般有以下几种情况:
  ①输入参数强制类型转换
  ②输入参数合法性检查
  ③关键函数执行(sql执行、页面显示、命令执行等)前,对经过代码流程的函数进行检测。
  ④对输入的数据进行替换过滤后再继续执行代码流程(转义/替换掉特殊字符等)。


四、WAF的判断

大部分检测脚本或者工具都是根据cookie信息、返回头、返回内容来判断WAF类别的。
1、使用sqlmap进行判断
  sqlmap中自带了识别waf的模块可以识别出网站的waf种类,如果安装的waf没有什么特征,识别出来的就是:Generic。

python sqlmap.py -u “http://www.xxxx.com?id=1” --identify-waf

2、使用手工进行判断
  使用手工进行判断的时候,判断原则是输出的内容网站是否拦截过滤。
在URL地址后面加上测试语句即可:如:union select 1,2,3%23,把测试语句放到一个不存在的参数名中,如果触发了WAF的防护,说明网站存在WAF,反之,不存在。
构造aaa=select 1,2,3%23
web渗透测试----31、检测到绕过web应用防火墙_第1张图片
被拦截的表现为:页面无法访问、响应码不同、返回与正常请求网页时不同的结果等。
3、Wafw00f
工具下载地址:(https://github.com/EnableSecurity/wafw00f)
使用方法:python wafw00f.py http://www.xxx.com/

4、xenoitx
工具下载地址:(https://github.com/ajinabraham/OWASP-Xenotix-XSS-Exploit-Framework)


五、WAF的绕过

WAF常见的绕过方式大致分为四大类:

1、基于规则的绕过
<1>字符变换
  大小写变换:script=>sCRipt
  字符编码:
  编码方式比较多样,如URL编码、十六进制编码、Unicode编码、HTML编码、Base64编码、JSfuck编码等。
  等价函数:
  我们在进行基于时间的SQL注入时,通常会使用不同的时间函数:如sleep();benchmark()。
  等价变量:

    And = &&
    Or = ||
    等于 = like 
    if(a,b,c) = case when(A) then B else C end
    substr(str,1,1) = substr (str) from 1 for 1
    limit 1,1 = limit 1 offset 1
    Union select 1,2 = union select * from ((select 1)A join (select 2)B;
    sleep() = benchmark()
    concat_ws() = group_concat()
    substr() = substring()
    @@user = user()
    @@datadir = datadir(

<2>字符干扰

    空字符
    NULL (x00)
    空格 
    回车 (x0d)
    换行 (x0a)
    垂直制表 (x0b)
    水平制表 (x09)
    换页 (x0c)

<3>特殊符号
  单引号;双引号;反引号
<4>利用服务本身特点
   WAF针对不同的服务器,他的过滤规则会有些许差异:

windows: 
whoami = ((((Wh^o^am””i))))       #利用符号分割字符执行whoami
Linux:
whoami = w’h’o’a’m”i”         #单引号或双引号连接符,需要闭合
Cat /etc/passwd = cat /?t*/??ss**   #?,*通配符

<5>其他
  
2、基于解析的绕过
<1>字符集解析不同
<2>协议覆盖不全
POST 的 JSON 传参 / form-data / multipart/form-data
<3>协议解析不正确
<4>站点和 WAF 对 https 有部分不一致
<5>WAF 解析与 Web 服务解析不一致
  部分 ASP+IIS 会转换 %u0065 格式的字符
  Apache 会解析畸形 Method:
    .php –> /1.php.dvw.123 从后往前解析,碰到php才会解析
  Iis5.0-6.0解析漏洞
     xx.asp/xx.jpg ,xx.asp目录下的文件都解析成asp文件
     xx.asp;.jpg 默认被解析为asp文件
  Iis7.5解析漏洞(php.ini开启fix_pathinfo)
    xx.jpg 我们在上传文件时,一句话木马写成xx.jpg,访问时后面加上xx.jpg/xx.php,图片文件会以php格式执行
  nginx解析漏洞(php.ini开启fix_pathinfo)
    xx.jpg%00.php Nginx <8.03 空字节代码执行漏洞
  同一个参数多次出现, 取的位置不一样

3、基于资源的绕过

使用消耗大的载荷,耗尽WAF的计算资源,通过增加传递得参数数量,达到waf检测上限,超出的参数就可绕过waf了。比如waf检测文本内容为40字节,多出40的就不再检测,那我们可以把脚本文件写在40个字节文件之后。
  再比如我们通过缓冲区溢出绕过WAF:当我们上传到服务器的数据量大于waf可以检测的数据量时,可以通过发送大量的垃圾数据将 WAF 溢出,从而绕过waf。
union select= and (select 1)=(select 0xA*111111111111) unIon select
and 1=1 = and 1=1 and 111111…11111111
4、基于架构的绕过

<1>站点在WAF后面,但是站点可以直连
<2>站点在云服务器中,同网段服务器没有WAF

5、HTTP Parameter Pollution (HPP)
HTTP参数污染允许攻击者制作请求以操纵或检索隐藏信息,具体如下:

ASP.NET//IIS-----传入参数:=par=v1&par=v2&par=v3-----解析为:=par=v1,v2,v3
ASP/IIS-----传入参数:=par=v1&par=v2&par=v3-----解析为:=par=v1,v2,v3
PHP/Apache-----传入参数:=par=v1&par=v2&par=v3-----解析为:=par=v3
PHP/Zeus-----传入参数:=par=v1&par=v2&par=v3-----解析为:=par=v3
JSP, Servlet/Apache Tomcat-----传入参数:=par=v1&par=v2&par=v3-----解析为:=par=v1

6、HTTP Parameter Fragmentation (HPF)
HHTP参数分段,具体如下:
在一个SQL查询中有两个或多个用户参数,例如:

Query("select * from table where a=".$_REQUEST ['a']." and b>".$_REQUEST ['b']);
Query("select * from table where a=.$_REQUEST['a']." and b<".$_REQUEST ['b']." limit ".$_REQUEST['c']);
etc.

在验证从Web应用程序级别的用户接收到的参数值的阶段,该应用程序只能使用Web服务器的变量运行,而WAF(取决于模式)可以直接使用原始HTTP数据运行。但是,不管访问数据的方法如何,都涉及为每个单独的参数使用某些正则表达式。即:

preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['a'])
preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['b'])
preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['c'])
...
preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['a'])
preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['b'])
preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['c'])
...

因此,如果将SQL查询的逻辑划分为几个输入该SQL查询的参数,然后使用注释将这些片段连接起来,则可以绕过所描述的过滤器:

/?a = 1 + union / *&b = * / select + 1,2
/?a = 1 + union / *&b = * / select + 1,pass / *&c = * / from + users

所以实际的操作语句为

select * from table where a=1 union select 1,2
select * from table where a=1 union select 1,pass from users

六、WAF指纹

1、额外的 Cookie
2、额外的 Header
3、被拒绝请求时的返回内容
4、被拒绝请求时的返回响应码
5、IP


七、部分WAF指纹

1、WebKinght:
如何在“事件响应处理”设置中未取消选中“直接响应”,“响应重定向”和“使用响应”状态’。WebKnight将不会丢弃请求,并将相关内容发送回客户端。
直接使用响应:如果检测到攻击,则将提供位于WebKnight目录中的文件deny.htm(在WebKnight 1.3及更高版本中为nohack.htm)
如果文件不存在,或者读取文件时发生错误,则将发送回默认文本“ WebKnight应用程序防火墙警报”。
如果使用响应重定向:IIS将以302状态(“对象已移动”)记录被阻止的请求,而直接使用“响应”时,IIS日志文件中将不会记录任何内容。
当重定向客户端并且该页面也被阻止时,将无限地重定向客户端(大多数浏览器都会给出有关“超过最大重定向次数”的错误)。
具体可查看官方文档:(https://www.aqtronix.com/)

2、ModSecuroty:
ModSecurity是一个开放源代码,跨平台的Web应用程序防火墙(WAF)模块。它被称为WAF的“瑞士军刀”,它使Web应用程序防御者能够
了解HTTP(S)流量,并提供电源规则语言和API来实施高级保护。ModSecurity只能嵌入在Apache 2.x中,但是当将其部署为反向代理时,
它可以用于保护任何Web服务器。
一个恶意的请求Mod_Security会在响应头返回“406 Not acceptable”的信息。

HTTP/1.0 406 Not Acceptable
Cache-Control: No-Cache
Pragma: No-Cache
Connection: Keep-Alive
Content-Length: 0

具体可查看官方文档:(https://www.modsecurity.org)

3、360防火墙:
响应头包含X-Powered-By-360WZB
异常请求时返回493状态码
页面源码可以找到对 wzws-waf-cgi 引用

4、云锁:
响应头包含yunsuo_session 字段
阻止响应页面

5、云盾:
响应头包含yundun关键字
页面源代码有errors.aliyun.com引用

6、安全狗:
响应头包含 waf 2.0
Safedog 等字样

HTTP/1.1 200 OK
Content-Length: 689
Content-Type: text/html
Last-Modified: Thu, 27 Dec 2018 08:03:11 GMT
Accept-Ranges: bytes
ETag: "5e49439cba9dd41:0"
Server: Microsoft-IIS/7.5
X-Powered-By: WAF/2.0
Date: Sun, 13 Dec 2020 20:33:49 GMT

7、腾讯云:
阻止响应页面包含waf.tencent-cloud.com 引用
阻止响应代码 405 method not allow

8、安全宝:
恶意请求时返回405恶意代码
响应头包含X-Powered-by-Anquanbao

HTTP/1.1 406 Not Acceptable
Connection: close
Content-Length: 584
Content-Type: text/html
Date: Tue, 15 Dec 2020 03:18:45 GMT
Server: ASERVER/1.8.0-3
X-Powered-By-Anquanbao: MISS from pon-bj-xy-ib5

9、百度云加速:
响应头包含 Yunjiasu-ngnix

HTTP/1.1 403 Forbidden
Connection: close
Content-Length: 16
Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cf-Ray: 601f31327b2d4887-TNA
Cf-Request-Id: 07075d138f00004887d517b000000001
Content-Type: text/plain; charset=UTF-8
Date: Tue, 15 Dec 2020 09:38:31 GMT
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Server: yunjiasu-nginx
Set-Cookie: __cfduid=d24058fa10fcb3f938923e75816b1e31b1608025111; expires=Thu, 14-Jan-21 09:38:31 GMT; path=/; domain=.119.188.9.54; HttpOnly; SameSite=Lax
X-Frame-Options: SAMEORIGIN

10、创宇盾:
恶意请求时 页面url 365cyd.com 365cyd.net

11、Profense:

def isprofense(self):
        """
        Checks for server headers containing "profense"
        """
        return self.matchheader(('server','profense'))

你可能感兴趣的:(#,web安全,网络安全技术,WAF,WAF绕过)