使用HTTP头去绕过WAF

最新推荐文章于 2024-05-19 08:15:00 发布
最新推荐文章于 2024-05-19 08:15:00 发布
阅读量6.9k 收藏 12
点赞数 6
分类专栏: 应用安全 文章标签: 安全 burp bypasswaf linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/51821366
版权

0x00 前言

    现在,各个安全厂商的WAF越来越多了,虽然它们的WAF卖得挺贵,但是买的人也不少(运营商、互联网企业、政府部门、传统的产业)。因此我们也是经常碰到那么多WAF啊,绕过WAF技术千姿百态,各种天花乱坠的的招数。有些招数对于V WAF绕得过,有些招数对于N WAF可以绕过,还有的招数对于哪个WAF都绕不过(自认倒霉吧,估计管理设置WAF策略的兄弟妹子也是一个高手,要不然就是他们请了大牛)。下面介绍一种绕过WAF的策略。

0x01 原因分析

    Web应用防火墙(WAF)是Web应用程序深度防御模型的一部分。它虽然不是安全代码的替代品,但却提供了过滤恶意输入的伟大选择。这里有一个实际的评估,其中部分企业部署的WAF是很容易被绕过,毕竟真正会部署WAF策略的运维人员也很少,基本上还是得靠安全厂商的工程师来运维。极差的设计或者错误的配置都会导致该WAF很容易被绕过。在应用程序生产部署时候,测试应用程序的安全性是很重要的。虽然这个应用程序可能在开发或质量保证进行了评估。但是当你们在部署它的时候,你可能会引入由于配置问题的新的攻击向量。例如我们虚拟银行Heisenberg Bank.就是这种情况。

    当执行起这个安全评估时,我快速地模糊测试了我平时会考虑到的所有应用程序终端点。截图如下:


    上图是一个被WAF阻挡后,返回的页面信息。经过一些调查后,我发现了本地机器是因为触发了一些规则而被WAF拦截的,这些规则如下:

快速连续地使用POST请求表格
快速连续地使用GET去请求大多数的页面
确实CSRF 标志
恶意字符

    每当上面的任何一个条件得到满足后,WAF会使用页面错误代码来阻止攻击者进行访问,阻挡时间为5分钟。既然这样,那么我们应该如何去进行下一步昵?使用编码载荷来绕过WAF正则匹配式的常规方法近来是行不通的,毕竟WAF已经走过漫长的岁月了。不过,我们可以声东击西。

    在等待被WAF解开封锁的期间,我决定做一些关于WAF的研究。在浏览几个WAF实施指南时,我发现了一个论坛曾提及到,使用缓存服务/设备去整合一个WAF。它的描述类似于用户很费劲地站立起来,好像清漆缠身或在不同的主机上运行的代理/加速器装置。然后该WAF挡住该服务器。当然,供应商毫不犹豫地回答道,你可以基于IP的设备部署白名单,让这些IP不被WAF检查。

    在这一点上,一切都还是很好。接下来的正是Heisenberg Bank 及其WAF 表现不佳的地方。通过更多阅读,我发现,WAF并不是在传入的请求做了一个真正的查询(类似于REMOTE_ADDR,或者其他类似的东西),WAF是在寻找一个*定制* HTTP标头。在用户或其他服务器连接到WAF的情况下,它的工作流程如下图所示:




    由图我们得知,WAF并非真正地检查请求的HTTP头。而具体的实现是检查头部的X始发-IP请求。那么,哪个设备应该被WAF配置为信任昵?在这种情况下,默认是WAF本身。

0x02 实际操作

    因为我控制所有被发送浏览器的HTTP请求,我可以轻松地添加这样的HTTP头去愚弄WAF认为我(攻击者)是WAF它,让我完全绕过它的保护功能:


经过进一步研究,这些HTTP头有可能被WAF定义为白名单(而不是做一个适当的查找):

X-forwarded-for    #把这个定义为缓存服务器
X-remote-IP           #把这个定义为代理服务器,或者同网段IP
X-originating-IP    #把这个定义为服务器主机的ip或者127.0.01
x-remote-addr      #把这定义为内部IP,例如172段,或者192段,或者10段

我们可以通过各种信息侦察和调查发现,有些IP地址是处于WAF的白名单中的。 如下图所示:

    搞清楚绕过后,其余的评估取得了许多其他的漏洞和加快了速度,这得益于我可以绕过WAF。这就和拦截内联代理头并且把头部添加到所有的请求一样简单。
    一个简单的解决方案是让您的前端代理剥离所有带非标准的HTTP头,但那么你还在玩猫捉老鼠的黑名单游戏。更妙的是,咨询你的供应商WAF,看看什么样的头可以被接受,默认被启用。然后寻找一个不依赖于攻击者可以伪造信息的解决方案。
    一般来说,你也可以使用Gethead来审核您的网站的HTTP标头的安全性。Gethead是我们的动态测试团队的领导者Nathan LaFollette (@httphacker).的一个项目。该博客的一个真棒追随者也做了一个burpsuite套件的扩展,将这些头添加到您的所有请求

burpsuite WAF绕过插件下载地址 github地址:https://github.com/codewatchorg/bypasswaf

或者在burp主界面 extender -->>BApp Store-->>左侧-->>下拉找到 BypassWAF

0x03 burpsuite插件bypasswaf

1  添加头部到所有Burp请求来绕过某些WAF产品。这个扩展自动地将下列头部添加到所有请求去。

 X-Originating-IP: 127.0.0.1
 X-Forwarded-For: 127.0.0.1
 X-Remote-IP: 127.0.0.1
 X-Remote-Addr: 127.0.0.1

2 用法与步骤:
添加该插件到burp

在burp中创建一个会话处理规则以此来激活该插件。

修改范围以包括可应用的工具和URLs

开始测试

3使用截图


参考文献

http://www.securityaegis.com/bypassing-web-application-firewalls-using-http-headers/

https://github.com/codewatchorg/bypasswaf/blob/master/README.md


煜铭2011
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
电子邮件如何追溯到他们的源IP地址
教程大咖的CSDN创作中心
08-21 2万+
你要做的第一件事当你听到检查发送电子邮件通知,对吧? 这是最快的方法找出谁是电子邮件,以及可能的内容。 但是你知道每个邮件都有更多的信息比出现在大多数的电子邮件客户端? 有主机的信息发送者包括在邮件头信息可以用来跟踪电子邮件回源。 下面是如何跟踪,邮件回它是从哪里来的,以及为什么你可能会想。 为什么跟踪电子邮件地址?   学习如何跟踪电子邮件地址之前,让我们考虑一下为什么你会做它在第...
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
SMTP:防止追踪发件人IP
Bitcoin学习中,欢迎吐槽
08-25 3382
SMTP-防止追踪发件人IP
Nginx - 安全基线配置与操作指南
最新发布
小工匠
05-19 1332
我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。
[转]可绕过WAFBurp Suite插件 – BypassWAF
iteye_16188的博客
06-15 1035
工具地址:https://github.com/codewatchorg/bypasswaf 工具原理:https://www.codewatch.org/blog/?p=408 [quote] Users can modify the X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr headers sent i...
Bypass WAFBurp插件绕过一些WAF设备
whatday的专栏
01-27 7257
我写了一篇博客文章这个插件使用的技术在这里一会儿。 许多WAF设备可以被欺骗以相信请求来自其自身,并且因此如果存在特定头部则是可信的。 旁路方法的基本知识可以在这里的HP博客文章中找到。 我已经实现匹配/替换规则在Burp自动添加这些标题发送到受WAFs保护的网站的请求一段时间,但决定创建一个插件,可以用于添加标题到活动扫描,中继器请求,入侵者请求,等等。我从Fishnet Security
很好,很邪恶!不挂代理,不改HTTP报头,小猪教你避开IP封锁 有图有真相
ditai6641的博客
09-22 306
我写这篇博文,意在回答流牛木马的提出的问题“请问"context.Request.UserHostAddress"这种方式,如何伪造IP?”如有不妥之处往众园友赐教。 在上一篇文章“由“ASP.NET网站限制访问频率”想到的两点问题 ”中我提到的获取用户IP的方法只是网上流传已久的“通用解决方案”而已,对于流牛木马使用的验证方式自然无效。不过仍可以给使用“通用解决方案”的朋友提个醒。所...
网络安全笔记--SQL注入
m0_70655343的博客
09-07 158
浏览器在跟服务器进行交互的过程中,浏览器往往会在GET/POST请求里面带上参数,这些参数会以 名称-值 对的形势出现,通常在一个请求中,同样名称的参数只会出现一次。在将数据存入到了数据库中之后,开发者就认为数据是可信的,在下一次需要进行查询的时候,直接从数据库中取出了恶意数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。用来和后面的单引号分隔开,将后面的语句注释,了解原理后便知道了–无法使用的原因,是因为–与后面的单引号连接在一起,无法形成有效的mysql语句。
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
分块绕过WAF.zip
02-27
这是一个绕过WAF的方法,大家能够学习到如何绕过的方法。能够提升自己的技术水品。
waf是如何被绕过
12-30
介绍了白名单绕过IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
那些年我们绕过WAF
05-07
本文主要是总结了WAF绕过的各种方法,大家在测试中可以使用以下的方法进行WAF绕过,希望对大家有帮助。
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
qq_50854662的博客
09-24 3186
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP BurpSuite插件是你的另一个选择。 四个小功能 伪造指定ip伪造本地ip伪造随机ip随机ip
班长出题 -- funpy (带源码):python反序列化 + ssti + SSRF + remote_addr路由绕过 + url中的#定位符
Zero_Adam的博客
03-11 1635
目录:第五题:一、自己做:二、不足&&学到的:三、学习WP:思路学习:1.绕过get_domain()2.绕过remote_addr() + \#3. 关于反序列化关于python反序列化方法一:exec的方法,(纯属为了复习opcode)方法二、一定有方法二的方法三:用这个变量覆盖的方法(后面的用的是这个方法):4. 接着做 python反序列化 + ssti 第五题: 一、自己做: 做了个der,,, 审计代码差远了, 二、不足&&学到的: 学习了python的反序列化
常用的几个HTTP head IP
夜班机器人的博客
03-01 4427
x-forwarded-forx-remote-IPx-originating-IPx-remote-ipx-remote-addrx-client-ipx-client-IPX-Real-ip
Bypass WAFHTTP参数污染(HPP)漏洞挖掘
weixin_50464560的博客
09-08 1879
文章目录 HPP漏洞漏洞原理服务列表HPP影响 WAF绕过SQL绕过XSS绕过文件上传 逻辑漏洞篡改收账账户恶意链接跳转越权取消订阅越权获取关注越权编辑数据 修复方案 HPP漏洞 HPP 是 HTTP Parameter Pollution 的缩写,意思即“ HTTP 参数污染 ”。这个漏洞由 S.di Paola 与 L. Caret Toni 在 2009 年的 OWASP 上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中..
sqlmapapi绕过waf
09-04
绕过WAF使用sqlmapapi,有几种方法可以尝试。首先,可以利用MySQL的版本号注释功能绕过WAF,这是一种常见的绕过方法。此外,还可以使用一些其他技巧,比如使用0xA0代替空格、利用特殊用法如\N和.e浮点绕过WAF,以及使用&&代替and等关键字和大括号注释来绕过WAF。这些方法可以绕过一些WAF对SQL注入的过滤规则。 另外,还可以尝试利用HTTP协议的不同版本进行粘包来绕过某些WAF,因为一些WAF在解析数据包时可能会出现问题。通过发送不同版本协议的粘包,可以绕过WAF的检测。 此外,还可以利用URL编码、charset编码、MIME编码等进行绕过WAF。这些编码技巧可以混淆注入语句,使其绕过WAF的过滤规则。 如果你想了解更多关于绕过WAF的方法,可以参考sqlmap的temper插件。该插件提供了更多关于数据库的绕过技巧,可以帮助你绕过WAF的防护机制。你可以在sqlmap的GitHub地址上找到这个插件。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [常见的WAF绕过方法](https://blog.csdn.net/wutianxu123/article/details/104260945)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值