如何利用 WAF 缺陷进行绕过

原创 于 2025-01-19 04:15:00 发布 · 873 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #绕过WAF

浅析waf绕过
在挖洞过程中,往往会遇到各种攻击利用被waf拦截的情况,本文浅析总结了常见的一些绕过思路以及具体实现

利用waf的缺陷绕过
1.1利用waf性能缺陷-垃圾字符填充
对于通用性较强的软WAF来说,不得不考虑到各种机器和系统的性能,故对于一些超大数据包、超长数据可能会跳过不检测

因此可以填充大量垃圾字符来逃避waf对数据包的检测如下

在这里插入图片描述
在这里插入图片描述
1.2利用waf性能缺陷-发送大量请求包
可以采取高并发的攻击手段,waf同样出于性能考虑可能会直接放行部分数据包。

2.利用waf适配组件的缺陷
由于后端web容器、中间件、数据库、脚本语言的多样性,waf很难覆盖全,容易导致waf解析不了而后端可以正常解析读取导致的绕过

IIS+asp
在IIS+ASP的环境中,如果url中出现了百分号,但后面邻接的字符拼起来后又不在url编码表之内的话,ASP脚本处理时会将其忽略

例如假设有如下请求xxx.asp?id=1 union se%lect 1,2,3,4 fro%m adm%in

waf规则不严放行后,后端由于该特性成功处理执行了xxx.asp?id=1 union select 1,2,3,4 from admin导致绕过

TOMCAT
tomcat的特性也可以构造出许多绕过的方式,可以参考https://y4tacker.github.io/2022/06/19/year/2022/6/%E6%8E%A2%E5%AF%BBTomcat%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%B5%81%E9%87%8F%E5%B1%82%E9%9D%A2%E7%BB%95waf%E6%96%B0%E5%A7%BF%E5%8A%BF/这篇文章

1.参数前后添加空白字符绕过

filename="1.jsp"的filename字符左右可以加上一些空白字符%20 %09 %0a %0b %0c %0d %1c %1d %1e %1f,比如%20filename%0a="1.jsp"这样导致waf匹配不到我们上传⽂件

2.utf-16、cp037等各种编码绕过

utf-16
在这里插入图片描述
在这里插入图片描述
json下的unicode编码在这里插入图片描述
3.利用waf适配协议的缺陷
3.1畸形请求(与Web应用所处的中间件有关,在部分中间件下不适用)
将HTTP请求头变为随机字符串例如xxxxT在这里插入图片描述
请求方法后加一个table等空字符在这里插入图片描述
使用get请求方法但带上post体(需要服务端能正常接受)在这里插入图片描述
3.2分块传输
仅仅适用于post传输方法

在这里插入图片描述
分块传输不少waf现在也都可以识别了,可以结合waf性能缺陷的思路综合利用-延时分块传输

具体使用可以参考该项目 http://github.com/c0ny1/chunked-coding-converter在这里插入图片描述
3.3非预期请求方式
get改为post、Content-Type: application/x-www-form-urlencoded改为multipart/form-data等

跳过waf直接访问服务器
寻找真实ip绕过云waf
云waf通过配置NS或者CNAME记录,使得对网站的请求报文优先经过WAF主机,经过WAF主机过滤之后,将被认为无害的请求报文再送给实际的网站服务器进行请求,此时只要找到服务器的真实ip,修改host为服务器真是ip即可绕过云waf

常见寻找真实ip的方式有如下几种

1.证书信息查询 https://myssl.com/

2.dns历史解析记录

3.搜集子域名ip c段(考虑到费用问题,一些子域名并不会部署)

4.超级ping

寻找没有部署waf的nginx反代机器
当waf在nginx服务器上部署,且存在nginx集群时,可以试试尝试寻找能反代服务却又没用部署waf的机器访问进行绕过

以下面这个为例,测试某接口发现被拦截

在这里插入图片描述
搜集ip信息为xxx.xxx.200.1xx在这里插入图片描述
查找c段服务,一个个访问尝试在这里插入图片描述
利用成功在这里插入图片描述
利用waf白名单
WAF存在某些机制,不处理和拦截白名单中的请求数据

例如特定的ip,来自于搜索引擎爬虫的访问数据等

特定ip

可以使用https://github.com/TheKingOfDuck/burpFakeIP插件将xff等头部设置为127.0.0.1等进行绕过尝试在这里插入图片描述
搜索引擎爬虫的访问数据

User-Agent修改为谷歌搜索引擎等

网络安全各类WAF绕过技巧
zxcvbnmasdflzl的博客
05-24 3177
即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。
SQL 注入之 WAF 绕过
2301_77160226的博客
08-28 1629
SQL 注入攻击是一种严重的安全威胁,而 WAF 是防范 SQL 注入攻击的重要手段之一。然而,攻击者也在不断寻找方法来绕过 WAF,从而成功实施 SQL 注入攻击。为了防范 WAF 绕过,我们需要采取持续更新 WAF 规则、多层面防御、安全培训和定期安全审计等措施,形成一个强大的安全防护体系,保护 Web 应用程序的安全。同时,我们也需要不断关注网络安全领域的最新动态,及时了解新的攻击技术和防范方法,以提高我们的安全防护能力。
文件上传—WAF拦截的绕过方式
qq_56228347的博客
11-24 3804
文件上传—WAF拦截的绕过方式
WAF绕过小技巧
tomyyyyy
09-22 7309
一、WAF绕过 1、脏数据绕过 即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。 例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入5000个x字符,可以成功绕过。 2、高并发绕过 对请求进行并发,攻击请求会被负载均衡调度到不同节点,导致某些请求绕过waf的拦截 3、http参数污染...
WAF绕过通用思路
Askshhbs的博客
04-26 1036
概述 通用的方法,不仅限于SQL注入,就是万金油,无非就是大小写、双写、编码、注释、垃圾字符、分块传输、HPP、WAF特性等 核心:所有能改的地方,都捣鼓捣鼓改改,增加就加,能删就删,多拿点其他内容来混淆视听。 大小写 unIoNSelect 双写 一些后端可能会直接给关键词过滤为空,那么就可以利用双写来绕过 ununionion ==> 去掉union ==> union 编码 URL编码 Unicode编码 十六进制编码 其他后端会解析的编码 注释 如mysql中
WAF是如何被绕过
06-21
以一些实际的WAF产品为例,了解它们的基本原理,它们存在的缺陷,以及攻击者是如何利用它们的缺陷让它们形同虚设的。我们应当更注重于注重自身系统和应用的安全,不能以为有了WAF就可以高枕无忧。
mysqlwaf_SQL注入9种绕过WAF方法
weixin_30586417的博客
01-31 734
SQL注入9种绕过WAF方法0x01前言WAF区别于常规防火墙是因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的防御门。通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止来自、(XSS)、和安全配置错误。0x02 WAF工作原理§检测异常协议:拒绝不符合HTTP标准的请求§增强型的输入验证:代理和服务器端验证,而不仅仅是客户端验证§白名单和黑名单§基于规则和异常...
sql注入中各种waf绕过方式,狗,盾,神,锁,宝
Lucker_YYY的博客
10-01 1529
当我们遇到一个waf时,要确定是什么类型的?先来看看主流的这些waf,狗、盾、神、锁、宝、卫士等等。。。(在测试时不要只在官网测试,因为存在版本差异导致规则库并不一致)在配置云waf时(通常是CDN包含的waf),DNS需要解析到CDN的ip上去,在请求uri时,数据包就会先经过云waf进行检测,如果通过再将数据包流给主机。在主机上预先安装了这种防护软件,可用于扫描和保护主机(废话),和监听web端口的流量是否有恶意的,所以这种从功能上讲较为全面。
WAF上传绕过+wbehshell免杀-漏洞银行大咖面对面9-ian
07-31
扰乱编码是一种常见的绕过技术,它通过对请求进行特殊处理来迷惑WAF,使其无法正确解析请求中的关键部分。 - **增减空格**:在HTTP头部或表单数据中插入额外的空格,使得WAF无法识别正常的格式,从而可能绕过检查。...
实战渗透-文件上传垃圾字符Bypass waf
weixin_50464560的博客
10-24 1087
从1月份入坑到现在,已经5个月了。这五个月来一直在刷edusrc,并且在本月初成功达到了总榜第五名。很多人问我如何快速批量刷站?那么,他来了。本次分享一次对自己学校的一次安全检测实战文章。帮助萌新理清思路,同时,欢迎各位大佬指点不足。0x01先看学校的域名ip地址注意:这里我建议不要看主域名的,看二级域名的ip地址。因为一些地区的职业院校都是集中统一在一台服务器上的,只有一些二级域名才会搭建在学校的机房里面如我们学校的二级域名:creat..com 上面搭建...
xss绕过字符过滤_XSS 绕过WAF字符限制
weixin_34357232的博客
12-27 964
  翻译文章,原文: https://medium.com/bugbountywriteup/xss-waf-character-limitation-bypass-like-a-boss-2c788647c229几个月前,我在我的Twitter中分享了一个然后XSS WAF字符限制的方法,这是一个私人的赏金项目。今天我将要分享更多的关于如何绕过的技术细节。希望对大家有所帮助。回到2019年,我...
waf绕过详解
zdy8023的博客
04-13 1万+
目录 waf防护原理讲解 目录扫描绕过waf 手工注入绕过waf sqlmap注入绕过waf 编写sqlmap绕过waf脚本 过waf一句话编写讲解 菜刀连接绕过waf webshell上传绕过waf 提权绕过waf waf绕过原理详解 了解waf防护原理 查看waf防护位置 熟悉防护规则 了解防护机制 查看拦截时间阀值 我们可以下载一个安全狗,查看它详细的防护机制,...
干货|各种WAF绕过手法学习
热门推荐
zhangge3663的博客
05-04 1万+
0X00Fuzz/爆破 fuzz字典 1.Seclists/Fuzzing https://github.com/danielmiessler/SecLists/tree/master/Fuzzing 2.Fuzz-DB/Attack https://github.com/fuzzdb-project/fuzzdb/tree/master/attack 3.Other Payloads 可能会被ban ip,小心为妙。 https://github.com/foospidy/paylo...
WAF绕过方法
07-19 832
1.大小写绕过 这个大家都很熟悉,对于一些太垃圾WAF效果显著,比如拦截了union,那就使用Union UnIoN等等绕过。 2.简单编码绕过 比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成 %55nION,结合大小写也可以绕过一些WAF,你可以随意替换一个或几个都可以。 也还有大家在M...
xss绕过字符过滤_技术研究 | 绕过WAF的常见Web漏洞利用分析
weixin_42364539的博客
12-19 320
前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apache+MySQL5.5.53)+最新版安全狗(4.0.28330)靶场使用DVWA:ht...
WAF绕过技巧总结1
weixin_42444939的博客
08-22 2227
最常见的WAF绕过技巧 举个栗子,比如基于黑名单的空格过滤绕过,在Mysql5下,%0A/%0B/%0C/%0D/%A0/%09/%20均可以起到空格的作用,测试WAF的时候如果发现以上存在未过滤,那么就可以成功绕过辣 除此之外,空格还可以用其他方式代替,像科学计数法(1e0),注释符等 对于空格以外的其他字符(a),unicode转义(%u0061),nibble转义(%%361)等都是常见的...
WAF详解及WAF绕过
赤赤三的博客
03-20 9616
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
mysql 敏感字符绕过_waf绕过方法
weixin_30415591的博客
01-27 1045
waf简介:网站WAF是一款服务器安全防护软件,是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统,是集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。常见的系统攻击分为两类:一是利用Web服务器的漏洞进行攻击,如DDOS攻击、病毒木马破坏等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务...
RCE绕过waf总结
最新发布
06-23
### RCE绕过WAF的技术总结 远程代码执行(RCE)攻击是一种常见的网络安全威胁,其目标是通过漏洞在目标系统上执行任意代码。Web应用防火墙(WAF)通常被用来检测和阻止恶意流量,但攻击者可能通过多种技术绕过这些防御机制[^1]。 以下是一些常见的RCE绕过WAF的技术: #### 1. 使用编码和混淆 攻击者可以使用不同的编码方式或混淆技术来隐藏恶意载荷的真实意图。例如,URL编码、Base64编码或十六进制编码等方法可以改变输入的外观,从而使WAF难以识别潜在的攻击模式[^2]。 ```python # 示例:对命令进行Base64编码 import base64 command = "id" encoded_command = base64.b64encode(command.encode()).decode() print(encoded_command) ``` #### 2. 利用逻辑缺陷 某些WAF规则可能存在逻辑上的漏洞,攻击者可以通过构造特殊的输入来触发这些漏洞。例如,某些WAF可能会忽略大小写敏感性或特定字符的转义处理,从而导致绕过[^3]。 #### 3. 分段发送 将完整的攻击载荷拆分成多个部分,并通过多次请求逐步传递给服务器。这种方法可以避免一次性发送完整载荷时被WAF检测到[^4]。 ```python # 示例:分段发送攻击载荷 payload_part_1 = "system(" payload_part_2 = "'id')" final_payload = payload_part_1 + payload_part_2 print(final_payload) ``` #### 4. 利用注释符 通过在恶意载荷中插入注释符(如`/* */`或`--`),可以绕过某些基于正则表达式的WAF规则。这些注释符可能会破坏WAF规则的匹配逻辑[^5]。 #### 5. 使用非标准协议 某些WAF仅针对HTTP/HTTPS流量进行防护,而忽略了其他协议(如WebSocket或gRPC)。攻击者可以通过这些非标准协议发起RCE攻击,从而绕过WAF的监控[^6]。 #### 6. 模拟合法流量 通过模拟正常用户的操作行为,攻击者可以降低被WAF标记为恶意流量的可能性。例如,添加额外的HTTP头信息或使用常见的User-Agent字符串[^7]。 ```http GET /vulnerable_endpoint HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 ``` #### 7. 利用白名单绕过 如果WAF配置了过于宽松的白名单规则,攻击者可能通过伪造IP地址、域名或其他参数来伪装成受信任的来源,从而绕过防护[^8]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值