欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

WAF的正确bypass

程序员文章站 2024-04-01 17:45:34
本文属i春秋的原创奖励计划,未经许可禁止转载! 前言 半年前的我,手握各种waf的bypass,半年之后的我。就把思路分享出来了。别问我什么!问了我也不会告诉你,我是没事...

本文属i春秋的原创奖励计划,未经许可禁止转载!

前言 半年前的我,手握各种waf的bypass,半年之后的我。就把思路分享出来了。别问我什么!问了我也不会告诉你,我是没事闲的!是不是好多人遇见waf,就一阵头大呢~今天我就开车啦~大家快上车!

正文 测试环境

php:我使用的是 phpstudy

waf:各种waf的官网

测试思路 php的本地环境是用来检测sql语句是否可以执行。

waf官网用来测试语句是否被拦截。

重点 :

1.http数据包的认识。

2.充分利用数据库的注释功能。

3.有对waf的构造思路。

测试代码 本地php存在注入漏洞的代码:

<?
php$id = $_get['x'];
$conn = mysql_connect('127.0.0.1','root','lyy1314...');
mysql_select_db('ceshi',$conn); 
$sql = "select * from user where id={$id}";
$cun = mysql_query($sql);
echo "< charset=utf-8>";while($row = mysql_fetch_array($cun))
{  
echo "url:".$row['url']."<br>";  
echo "password:".$row['password']."<br>";  
echo "<hr>";
} 
mysql_close($conn);
echo "您当前执行的sql语句:";
echo urldecode($sql);
?>

get型注入测试 - 伪造http数据包 get型注入相对于post注入来说,在某些方面是比post注入bypass更轻松一些的。这是为什么呢?答案是因为post数据包中也包含了get包哦~我们可以通过伪造post数据包的方式进行get注入。

也就是说,get的类型最少有三种,甚至更多的数据包类型可以进行注入。

如:post、put、get。

1.测试普通的get型注入 

WAF的正确bypass

可以发现,上面成功接收到了get数据包提交的数据。这是理所当然的!

2.测试post提交的get型注入 

WAF的正确bypass

从上面可以看出,post数据包种,确实包含了get的数据包。所以,在有些时候进行bypass测试时,适当的改下数据包类型,也是可以的哦。

在360主机卫士的之前版本中,post提交只拦截post的数据,当你利用post数据包进行get注入时,它是不会进行拦截的哦~ get型注入测试绕过云锁 - 伪造http数据包 首先,我们去云锁的官网进行bypass测试! 我们在云锁官网的url后面加入 and 1=1 进行测试。

当然,正如所料 100% 被拦截 

 WAF的正确bypass

一般情况,大家都会扭头就走~ 那我们现在来伪造个post数据包,进行测试把~ 

 WAF的正确bypass

正如我们期待的那样,伪造数据包后,waf就被一棍子打死了~ 有时,即使我们伪造数据包后,仍过不了waf,不要灰心,因为这个时候waf的规则绝对比get包的规则少哦~ get型注入测试 - 合理构造http数据包 - 思路 在http数据包中每个参数中间都会用&符连接,那么我们可不可以利用这个&符号呢? 下面我们先来进行本地测试! 

WAF的正确bypass

我们发现即使 &符后面的参数被 /* 包含住,这可以被接收到。并没有被注释掉! 那是因为, /* 被http当成了参数a的值,而并不是当成了注释! 有时候,我们可以利用这个方法,加其他的方法来bypass。

后记 挖waf的bypass时,一定要从多方面入手,编码,协议,语句等,甚至有时都会利用系统的截断!

推荐大家买一本关于 http协议 方面的书籍进行阅读,因为,只有越接近底层,才能越了解它。最后从方方面面进行绕过。

有编程功底的,可以思考一下waf的编写方式,哪里容易出现漏洞等~比如我们常常用来截断文件的%00,在安全狗中却能截断安全狗对http协议的检测。比如菜刀过狗时,eval%00()是不会被杀的!不要只靠别人!思路是你自己的!你学到的知识也是属于你自己的!