01.17 技術」某大佬的BypassWAF新思路(附腳本)

可領全套安全課程、配套攻防靶場


「思路/技術」某大佬的BypassWAF新思路(附腳本)

前言

一直想找一個通用性的過狗方法,預期是這個繞過方法不會涉及到下面3個方面:

(1)中間件,如iis、apache

(2)數據庫,如mysql、sql server

(3)腳本語言,如php、aspx、asp


網上關於安全狗的sql繞過研究,大多數是fuzz繞過的帖子,fuzz方法常常使用註釋繞過,涉及到數據庫特性,而且廣泛用於註釋語法的星號(*)可能會被網站自帶的防惡意代碼模塊攔截了,在實踐中體驗不好。

太多fuzz過waf的文章,多數是使用註釋繞過,在我看來,所有fuzz繞過,本質就是正則匹配逃逸。

我計劃寫一篇腳本小子最愛的,涉及知識點最少,能直接放工具裡全自動跑sql注入的過狗文章。


先說說安全狗是如何判斷惡意代碼

安全狗、雲鎖、D盾等軟件waf,內置一套正則匹配檢測規則。

這類軟件waf對惡意代碼的認識很有限。例如安全狗iis版,只知道要防護的服務器是iis作為中間件,並不知道要防護的服務器上面部署的數據庫類型[Mysql|Sql Server|Access..]以及腳本語言類型[php|aspx|asp...]。

再者,由於是依靠正則規則看惡意代碼,所以對惡意代碼攔截不全面。


起因

某天,在本地搭建了一個Asp+Access+IIS環境,測試安全狗Bypass用淘氣字符串就繞過了安全狗的攔截。

由於只能用在某些sql語句上,具體是哪一個字符串就無足輕重了。第一次在本地環境測試安全狗就繞過了,剛好那天看到論壇在徵集優秀文章,計劃著寫處女作投稿。

附上地址,雖然字符串數量不多,但是確實很淘氣...https://github.com/minimaxir/big-list-of-naughty-strings/blob/master/blns.txt

淘氣字符串

反覆提交包含sql注入的數據包,Fuzz到了字符串<script>只有這一處,提示數據庫報錯了。那麼,安全狗是分析到了什麼?安全狗是用正則匹配看代碼的,所看到,肯定不是一大串字符。反覆刪減,最終出來了 ///.js?</p><p><br/></p><h1 class="pgc-h-arrow-right"> 繞過測試</h1><p>///.js? js可以換成rm/wm/png/jpg等靜態文件後綴</p><p>測試發現,只要url包含 ///.js? 就會觸發內置的白名單,直接被iis版安全狗放行。既然是觸發白名單,我直接把http防護策略全部開啟,把防護等級調到最高來測試效果。</p><div class="pgc-img"><img class="lazy" src="//p2.ttnews.xyz/loading.gif" data-original="http://p3.pstatp.com/large/pgc-image/1d79de4930864951921d03f467b83417" img_width="598" img_height="399" alt="「思路/技術」某大佬的BypassWAF新思路(附腳本)" inline="0"><p class="pgc-img-caption"></p></div><pre><code><br>http://192.168.29.131:8980/sql.php?id=1%20and%201%3d1(攔截)http://192.168.29.131:8980/sql.php?id=1%20and%201%3d1&safe=%2f%2f%2f%2ejs%3f(放行)http://192.168.29.131:8980/sql.php/1.js?id=1%20and%201%3d1(放行)</code></pre><p><br/></p><p>觸發白名單直接放行url,順帶放行了XSS攻擊代碼,連xss過狗代碼也不用研究了,哈哈。</p><div class="pgc-img"><img class="lazy" data-original="http://p3.pstatp.com/large/pgc-image/4eb3e92c10e04be0988681e1e0092ea7" img_width="599" img_height="206" alt="「思路/技術」某大佬的BypassWAF新思路(附腳本)" inline="0"><p class="pgc-img-caption"></p></div><div class="pgc-img"><img class="lazy" data-original="http://p1.pstatp.com/large/pgc-image/4e8df4d8251d40e995716327436dd4fd" img_width="598" img_height="259" alt="「思路/技術」某大佬的BypassWAF新思路(附腳本)" inline="0"><p class="pgc-img-caption"></p></div><pre><code>http://192.168.29.131:8980/sql.php?id=1%20and%201%3d1&xss=<script>alert(/xss/)/<script>&safe=///.js?(既有sql注入,又有xss攻擊,放行)http://192.168.29.131:8980/sql.php?id=1%20and%201%3d1&xss=


分享到:


相關文章: