WAF如何应对payload编码绕过

已于 2023-06-07 09:33:22 修改
阅读量1.6k 收藏
点赞数
分类专栏: nginx开发学习汇总 文章标签: web nginx lua
于 2020-06-07 12:06:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/106599624
版权

web服务器在对外提供各种应用服务时,经常会遇到请求的payload经过混淆或者编码想要绕过web安全防火墙。

 

如果在http请求中添加编码很可能会绕过waf规则,甚至绕过语义分析。导致数据泄漏风险,本应该被拦截的请求,还是得到了请求对应的响应数据。

可以通过下面连接了解一下,想要绕过web安全防火墙经过处理的payload长什么样。这里是我参考owasp(感谢他们对web安全做出的贡献)整理的xss攻击方式,包含各种经过处理的payload绕过方法。

绕过WAF的XSS语句_晓镁的博客-CSDN博客

通常云waf厂商都会自研自己的解码引擎。针对不同使用场景(互联网/金融/政企)提供不同的解码组合方案。

我们以华为云waf为例,看看他们的编解码说明。

下面整理一下常见的基于nginx+lua实现针对http payload编解码操作。

以下代码提供参考:

--base64
local function _base64_decode(value)
	local val = ngx.decode_base64(tostring(value))
	if (val) then
		return val
	else 
		return value
	end
end

local function _base64_encode(value)
	local val = ngx.encode_base64(value)
	return val
end

--命令行
local function _cmd_line(value)
	local val = tostring(value)
	val = ngx.re.gsub(val,[=[[\\'"^]]=], '',"oij")
	val = ngx.re.gsub(val,[=[\s+/]=],'/',"oij")
	val = ngx.re.gsub(val, [=[\s+[(]]=],'(', "oij")
	val = ngx.re.gsub(val, [=[[,;]]=],' ', "oij")
	val = ngx.re.gsub(val, [=[\s+]=],' ', "oij")
	return string.lower(val)
end

--压缩空格
local function _compress_whitespace(value)
	return ngx.re.gsub(value, [=[\s+]=], ' ', "oij")
end 

--十六进制
local function _hex_decode(value)
	if type(value) ~= "string" then return value end
            
            local str

            if (pcall(function()
                str = value:gsub('..', function (cc)
                    return string.char(tonumber(cc, 16))
                end)
            end)) then
                return str
            else
                return value
            end
end

local function _hex_encode(value)
    if type(value) ~= "string" then return value end
            
    return (value:gsub('.', function (c)return string.format('%02x', string.byte(c))end))
end

--html处理
local function _html_decode(value)
   if type(value) ~= "string" then return value end
            
    local str = ngx.re.gsub(value, [=[&lt;]=], '<', "oij")
    str = ngx.re.gsub(str, [=[&gt;]=], '>', "oij")
    str = ngx.re.gsub(str, [=[&quot;]=], '"', "oij")
    str = ngx.re.gsub(str, [=[&apos;]=], "'", "oij")
    str = ngx.re.gsub(str, [=[&#(\d+);]=], function(n) return string.char(n[1]) end, "oij")
    str = ngx.re.gsub(str, [=[&#x(\d+);]=], function(n) return string.char(tonumber(n[1],16)) end, "oij")
    str = ngx.re.gsub(str, [=[&amp;]=], '&', "oij")
    return str
end

--字符串长度
local function _length(value)
    return tostring(#tostring(value))
end

--转换小写
local function _lowercase(value)
   return string.lower(tostring(value))
end

--MD5处理
local function _md5(value)
    if not value then return nil end
            
    return ngx.md5_bin(value)
end

--规范路径格式
local function _normalise_path(value)
	while (ngx.re.match(value, [=[[^/][^/]*/\.\./|/\./|/{2,}]=], "oij")) do
        value = ngx.re.gsub(value, [=[[^/][^/]*/\.\./|/\./|/{2,}]=], '/', "oij")
    end
    return value
end

--删除注释
local function _remove_comments(value)
    if type(value) ~= "string" then return value end            
        return ngx.re.gsub(value, [=[\/\*(\*(?!\/)|[^\*])*\*\/]=], '', "oij")
end

--删除注释字符
local function _remove_comments_char(value)
    if type(value) ~= "string" then return value end       
    return ngx.re.gsub(value, [=[\/\*|\*\/|--|#]=], '', "oij")
end

--删除空格
local function _remove_whitespace(value)
    if type(value) ~= "string" then return value end

    return ngx.re.gsub(value, [=[\s+]=], '', "oij")
end

--替换注释
local function _replace_comments(value)
    if type(value) ~= "string" then return value end
    --[=[ / *( *(?!/) | [^*])* *]=]
    return ngx.re.gsub(value, [=[\/\*(\*(?!\/)|[^\*])*\*\/]=], ' ', "oij")
end

--字符串SHA-1摘要
local function _sha1(value)
    if not value then return nil end
            
    return ngx.sha1_bin(value)
end

--sql_hex解码
local function _sql_hex_decode(value)
    if type(value) ~= "string" then return value end
            
    if (string.find(value, '0x', 1, true)) then
        value = string.sub(value, 3)
        local str
        if (pcall(function()
            str = value:gsub('..', function (cc)
                return string.char(tonumber(cc, 16))
            end)
        end)) then
            return str
        else
            return value
        end
    else
        return value
    end
end

--去除不必要的字符
local function _trim(value)
    if type(value) ~= "string" then return value end
            
    return ngx.re.gsub(value, [=[^\s*|\s+$]=], '')
end

local function _trim_left(value)
    if type(value) ~= "string" then return value end
        
    return ngx.re.sub(value, [=[^\s+]=], '')
end

local function _trim_right(value)
    if type(value) ~= "string" then return value end
            
    return ngx.re.sub(value, [=[\s+$]=], '')
end

--uri转码
local function _uri_decode(value)
	local value = tostring(value)
	return ngx.unescape_uri(value)
end 

local function _uri_encode(value)
	local value = tostring(value)
	return ngx.escape_uri(value)
end

更多的编解码操作,我们可以通过lua ffi调用已经编译好的so库来实现。

c语言有着非常多的编解码开源程序,我们把它们编译成so库通过lua ffi可以任意使用so里面的编解码函数。后面会重点介绍。

securitysun
关注
专栏目录
44-5 waf绕过 - SQL注入绕WAF方法
weixin_43263566的博客
06-04 129
内联注释是一种特殊的注释格式,在其后面紧跟着数据库版本号时,如果实际的数据库版本等于或高于该字符串,则应用程序会将注释内容解释为SQL语句,否则将其视为注释处理。默认情况下,如果没有指定版本号,内联注释中的内容将会执行。首先经过测试发现安全狗并不是直接过滤 and 关键字,而是过滤 adn + 一个表达式,如:and 1=1 这种才会被过滤。如果你要使用order by进行爆列,会发现也被过滤了,绕过:使用 group by 绕过。/ 之后的注释内容则会被真正地注释掉,失去作用。
XSS现代WAF规则探测及绕过技术
Coisini的博客
06-13 621
初始测试 1、使用无害的payload,类似,,观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2、如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应; 3、尝试以下的payload <script>alert(1);</script> <script>promp...
用最短的payload绕过WAF(入门)
dfdhxb995397的博客
11-02 702
本文作者:jishuzhain <font color=green>想绕过一个WAF,我们可以用最短的payload来做,这里只是基础示例,望各位大佬勿喷,小弟在此谢过。</font> 我在这里先使用一个网页举例。 <script>alert(1)</script> 然后输入经典的payload 拒绝访...
html%3cb%3e标签,用最短的payload绕过WAF(入门)
weixin_39695490的博客
06-19 1337
绕过一个WAF,我们可以用最短的payload来做,这里只是基础示例,望各位大佬勿喷,小弟在此谢过。我在这里先使用一个网页举例。然后输入经典的payload拒绝访问!看起来像是WAF正在限制我们的方式。所以我要用URL编码对我们的payload进行编码。可以在搜索引擎上找到一些可以做到这一点的网站,但我喜欢用火狐的HackBar插件。所以我把我的payload进行了编码。现在来看看是否可以绕过W...
什么,有狗快跑!慢着,这次手把手教你怎么过安全狗!(sql注入篇)
最新发布
wananxuexihu的博客
07-09 1053
在记忆里上次绕安全狗还是在上次,开开心心把自己之前绕过狗的payload拿出来,发现全部被拦截了,事情一下子就严肃起来了,这就开整。
编码对照表_盲注 hex编码waf(思路)
weixin_35387118的博客
12-29 247
mysql分割函数有:substr、substring、left当union、空格、and、or、注释、substr被过滤的时候如下可尝试用编码进行绕过,如URLEncode编码,ASCII,HEX,unicode编码绕过,上面代码没有过滤left,可以用left加上hex进行绕过这里通过测试语句判断出是数字型注入错误则不显示,用盲注试一下,判断数据库长度语句(模板):/?id=1'%...
Waf功能、分类与绕过
Spontaneous_0的博客
01-14 562
Waf功能、分类与绕过
WEB漏洞攻防 - 文件上传漏洞 - 文件内容检测绕过
易编橙 · 终身成长社群,相遇已是上上签!
09-02 2021
通过在文件中添加正常文件的标识或其他关键字符绕过
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 3818
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
<小迪安全>19-SQL注入之sqlmap绕过WAF
hackerXxxt的博客
03-17 858
1.白名单方式一:IP白奖单从网络层获取的ip,这种一般伪造不来,如果是获取客户端的IP,这样就可能存在伪造IP绕过的情况。测试方法:修改http的header来bypass wafx-Real-ip方式二:静态资源特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等),类似白名单机制,waf为了检测效率,不去检测这样一些静态文件名后缀的请求。id=1id=1备注: Aspx/php只识别到前面的.aspx/.php后面基本不识别。
绕过WAF运行命令执行漏洞的方法大全
hackzkaq的博客
10-09 2188
文章目录**前言****一、windows下**二、进入linux三、一个有趣的例子总结 前言 作者:掌控安全-桐镜 今天发散一下思维,聊聊关于命令执行漏洞绕过过滤的方法,让我们一起由浅入深。 一、windows下 1.1 符号与命令的关系 在看一个例子开始之前,首先了解一点,”和^这还有成对的圆括号()符号并不会影响命令的执行。在windows环境下,命令可以不区分大小写 whoami //正常执行 w"h"o"a"m"i //正常执行 w"h"o"a"m"i" //正常执行 wh"“oami //正常执
绕过WAF单一方法
小刚的博客
04-30 1833
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于它用途 WAF绕过大法绕过WAF单一绕过方式1,一次URL编码绕过2,二次URL编码绕过3,其他编码4,空格过滤5,内联注释绕过6,大小写绕过7,双写关键字绕过8,宽字节绕过9,添加%绕过10,cookie注入11,请求方式差异规则松懈性绕过12,复参数绕过总结 绕过WAF 在我们进行sql注入的...
WAF绕过总结+工具介绍
热门推荐
kali_Ma的博客
09-24 1万+
什么是WAF Wafweb应用防火墙( Web Application Firewa‖l)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。waf属于检测型及纠正型防御控制措施。waf分为硬件waf、软件waf( ModSecurity)、代码级wafWAF的原理 waf对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警
Web安全—有效载荷Payload
weixin_44431280的博客
02-12 5248
有效载荷—Payload 提要:在Web安全的学习过程中,通常会提到Payload这个词,但是这个在安全中代表什么含义。 简介: Payload直接可以翻译为"有效载荷",其含义可以理解为数据包中的"有效数据"。 Payload理解总结: 协议角度分析:一个完整的数据传输过程中通常由三部分组成,分别是数据头部+原始数据(数据帧或数据包+校验尾部),数据头和校验尾部是为了原始数据的准确传输起作用,那么其中的原始数据就是我们通常说的Payload。 IPV4协议数据包结构举例: BurpSuite中Paylo
文件上传绕过waf
qq_45750691的博客
08-24 574
文件上传绕过waf safedog 绕过方式 上传参数解析:明确哪些东西能修改? content-disposition:一般可更改,就是表单数据 name:表单参数值,不能更改 这个值是固定的,不能更改的,这个是和后端绑定的 filename:文件名不能更改 这个是最关键的 它包含了文件的后缀名 content-type:文件MIME,视情况更改,这是一个绕过条件,我们可以根据它进行绕过,如果对方不是这个绕过条件,就没有意义了 常见绕过方法 数据溢出-防匹配(xxx…) 把数据搞多一点 数
WAF-bypass:一款功能强大的Web应用防火墙安全测试工具
Innocence_0的博客
09-11 882
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
WAF绕过思路
永远是少年
03-12 3629
WAF绕过思路 WAF在渗透测试中,是我们要面对的第一关卡,渗透测试人员对站点WAF绕过过程就是渗透测试人员与网站管理员(或WAF开发者)进行PK的过程。在对WAF的渗透时,一般可以考虑采用以下方式展开。 一、增加WAF负担 WAF是为网站安全服务的,但是WAF的存在如果干扰了网站的正常运行,则会得不偿失,因此,网站管理员一般会恰当的配置WAF,起到在不会干扰网站正常运行的前提下,对用户的输入进行过滤的作用。因此,有些WAF就会设置如果数据包长度过长,就对部分数据包或者是数据包的部分内容进行无检测“放行”
WAF详解及WAF绕过
赤赤三的博客
03-20 9027
wafweb application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
文件上传——WAF的基础绕过
mingyqf的博客
04-20 1846
[文件上传——WAF的基础绕过 ] 原文链接:(https://www.cnblogs.com/-chenxs/p/12324425.html) 方法分类: 1、HTTP参数污染绕过 2、HTTP Header头部欺骗绕过 3、HTTP参数溢出绕过 4、HTTP分块传输绕过 5、HTTP数据编码绕过 6、HTTP Pipline绕过(Keep-alive) 7、HTTP协议未覆盖绕过 8、HTTP畸形包绕过 9、HTTP组合绕过 0x01 HTTP参数污染绕过 HTTP参数污染简称HPP 由于http协议允
WEB漏洞:SQL堆叠注入与WAF绕过技术解析
然而,攻击者也发展出多种方式来绕过WAF的防护,例如通过注释符(如-- 或 /* */)、编码(如%00空字符)、关键字替换(如大小写变化或使用同义词)以及使用函数(如Hex()、Sleep()等)来构造隐蔽的payload。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值