WAF绕过通用思路

访客 364 0
本文来源:知道创宇云安全

概述

通用的方法,不仅限于SQL注入,就是万金油,无非就是大小写、双写、编码、注释、垃圾字符、分块传输、HPP、WAF特性等

核心:所有能改的地方,都捣鼓捣鼓改改,增加就加,能删就删,多拿点其他内容来混淆视听。

大小写

unIoNSelect

双写

一些后端可能会直接给关键词过滤为空,那么就可以利用双写来绕过

ununionion ==> 去掉union ==> union

编码

URL编码

Unicode编码

十六进制编码

其他后端会解析的编码

注释

如mysql中的内联注释,可以用来代替空格

注释也可以和换行搭配使用,注释掉后面的内容,再通过换行逃逸到注释之外

test.php?id=1 /*!order*//**/%23A%0A/**/%23A%0A/*!by*//**/2

垃圾字符

一些WAF设置了过滤的数据包长度,如果数据包太大太长,为了考虑性能就会直接略过这个数据包

GET /foo?sqli=111...80万个1...111'+and+2*3=6+--+ HTTP/1.1
User-Agent: Mozilla/5.0
Host: Host
Accept: */*

分块传输

burp插件:https://github.com/c0ny1/chunked-coding-converter.git

在头部加入 Transfer-Encoding: chunked 之后,就代表这个报文采用了分块编码。这时,post请求报文中的数据部分需要改为用一系列分块来传输。每个分块包含十六进制的长度值和数据,长度值独占一行,长度不包括它结尾的,也不包括分块数据结尾的,且最后需要用0独占一行表示结束。

HTTP协议绕过

HTTP 0.9

HTTP 0.9协议只有GET方法,且没有HEADER信息等,WAF就可能认不出这种的请求包,于是达到绕过WAF的效果

参数污染(HPP)

简单来说,存在多个同名参数的情况下,可能存在逻辑层和WAF层对参数的取值不同,即可能逻辑层使用的第一个参数,而WAF层使用的第二个参数,我们只需要第二个参数正常,在第一个参数插入payload,这样组合起来就可以绕过WAF,如下数据包:

GET /foo?par=firstq=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 3

a=1GET / HTTP/1.1
Host: www.baidu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Connection: close

HTTP charset

利用Content-Type: xxx;charset=xxx编码绕过,payload转义后,由于大部分的WAF默认用UTF8编码检测,所以能用此方法来达到绕过关键词过滤的效果

application/x-www-form-urlencoded; charset=ibm037
multipart/form-data; charset=ibm037, boundary=blah
multipart/form-data; boundary=blah ; charset=ibm037

WAF特性

云WAF绕过

找到真实IP,修改本地hosts文件或者直接在burp中指定解析,避免流量走到云WAF上即可。

WAF绕过通用思路-第1张图片-网盾网络安全培训

白名单绕过

一些WAF为了保证核心功能如登陆功能正常,会在内部设立一个文件白名单,或内容白名单,只要和这些文件或内容有关,无论怎么测试,都不会进行拦截。

如:WAF设立了白名单/admin,那么我们的测试payload可以通过如下的手法来绕过

# 原来被拦截
http://a.a/?id=123 and2*3=6
# 现在不拦截
http://a.a/?a=/adminscript> == %s%cr%u0131pt>

tomcat:

路径穿越

/path1/path2/ == ;/path1;foo/path2;bar/;

参考

标签: web安全 内网渗透 网络安全技术

发表评论 (已有0条评论)

还木有评论哦,快来抢沙发吧~