部分常见中间件漏洞如何绕过WAF

Delina

原文链接：部分常见中间件漏洞如何绕过WAF
​
0x01 简介随着安全意识的加强，现在hvv中各个单位都是严防死守，什么防护设备管他有没有用先上了再说（再这样下去要失业了...）之前一打一个准的中间件漏洞现在10个能成功一个就不错了。为了应对hvv场景中的部分WAF，才有了此文。
0x02 常规绕WAF思路1、错误的HTTP请求头类似文件上传时的绕过，通过畸形的HTTP协议头绕过WAF检测。比如绕过某些老版本WAF可以加入请求头：Content-Encoding:deflate就可以绕过WAF（此方法在文件上传绕过WAF中也适用）
2、通用的JAVA类关键字绕过将关键字转换成Unicode或者HEX编码的方式，JAVA程序会自动进行解码，所以在一定程度上能够绕过WAF
3、使用未公开的漏洞利用链部分WAF会将公开的漏洞利用链中的关键字设置为黑名单，所以重新找一条利用链吧，自己的才是最香的
0x03 Struts2过WAF1、三种快速判断struts2的方法（1）通过后缀判断
通过后缀判断struts2是最快速和最常见的方法，但是这种方法不太准确，有些程序员会自定义页面后缀。一般struts2页面常用后缀为.do和.action。但是也有另一种比较特殊的情况，比如：userManager!list.action类似这种带!的形式很有可能是Struts2框架
（2）通过页面回显的错误消息来判断，页面不回显错误消息时则无效
如原始的目标地址是http://www.struts2-vuln.com，则检测所用的地址是http://www.struts2-vuln.com/?actionErrors=1111111，如果返回的页面出现异常，则可以认定为目标是基于Struts2框架构建的。异常情况包括页面直接出现404、500等错误，页面上输出了与业务有关错误消息，或者1111111被回显到页面上了，页面的内容结构发生了明显的改变，页面发生的重定向。(该方法目前在测试时基本未成功过，仅当作知识点留存)
（3）判断 /struts/webconsole.html 是否存在来进行判断，需要 devMode 为 true

​

2、Struts2中的$和%在Struts2中，%和$作用一致，可以相互替换，当WAF拦截了%时可以试试用$替换，反之亦然
3、如何绕过waf这里我们以s2-016和s2-045为例，演示如何绕过waf，实验环境如下：

​

我们先用工具跑一下
​
这个时候工具就不管用了，什么都没有发现，还是我们手输poc比较靠谱一些，先试一下最基本的s2-016的验证poc

​

左下角提示waitting，说明Poc被WAF拦截掉了，我们试一下绕过
针对s2-016的绕过，我们只需要双写大括号就可以

​

这里Poc就成功执行了11*11，返回包里也返回了121
我们在尝试一下同样用双写的方法绕过一下s2-045

​

GG了，看来这样绕不过去。
我们重新看一下s2-045的poc，这么长一大串，WAF最有可能使用哪种方式进行检测呢？poc里那么多关键字，很大几率是对关键字进行检测吧，那我们吧关键字拆分开试一下
​
可以了，用+拼接关键字，成功绕过了WAF对关键字的检测。不过不知道编码的方法可不可以
0x04 Weblogic过WAF1、两种快速判断Weblogic的方法（1）通过404页面判断
（2）通过X-powered-by头判断：servlet/2.4(版本) JSP/2.5(版本)
2、如何绕过wafPOC直接干它

​

直接wait了，说明被waf拦截掉了。后面是了好多方法都不行，最后大佬说用chunked编码可以绕过，试一下

​

这也不行啊，chunked编码手还是被拦截了。大佬有说好好看看http头部的内容。
对比于之前的包，chunked编码后，包头中多了Transfer-Encoding:chunked，这是用来说明使用了chunked编码的，难道waf还会识别这个，自动解码chunked吗？？？既然如此那我们就不让waf识别chunked编码
所以在Transfer-Encoding:chunked后加入任意内容，即可绕过WAF

​

0x05 总结Shiro和Fastjson的绕过还没有搞懂，后面再更新吧
​