WAF绕过(网站安全狗示例)

WAF绕过(网站安全狗示例)-我的制胜法则长度、编码&系统特性作者：RedFreeFromWooyun为何安全狗可被绕过？2Web容器容错处理特殊语法网站安全狗另类协议系统特性数据库数据库中间件两者同时可处理的请求：正常请求、策略库中已定义的异常(可被Web容器处理)请求。乌云主站漏洞分析3主站漏洞绕狗方法分类41、使用特殊字符（Ascii码不在32-127范围内）2、使用特殊语法（非常规的SQL注入语句）3、使用超长数据（超长的数据安全狗无法处理）4、利用安全狗的白名单策略（借助安全狗的白名单逆袭）5、利用操作系统特性（利用非安全狗防护策略的特性完成逆袭）6、其它的一些手段或是以上方法的结合（一些其它的技巧）各种绕过技巧的差异51、使用特殊字符（不同Web容器之间有差异，所支持的特殊字符不尽相同。如：IIS6会过滤掉%和空格Apache就不会）2、使用特殊语法（多体现在SQL注入绕过上，不同的数据库引擎所支持的语法也不尽相同，所以此技巧变化较多，但不通用。如：updatexml()函数MSSQL就没有。）3、使用超长数据（超长数据在各种Web容器之间具有较好的统一性，此技巧绕狗比较通用。）4、利用安全狗的白名单策略（使用白名单绕过最为简单粗暴，但方法一旦公开即被修复，无法重复使用。如：利用搜索引擎UserAgent和GoogleIP来绕狗。）5、利用系统特性（方法比较冷门但通用性较差。如：NTFSADS特性、映像劫持过狗等。）6、其它的一些技巧或是以上方法的结合（几个技巧可以产生更多的绕过方法。）如何有序地挖掘绕过方法？6方案1方案2方案3……确定目标测已知条件实施绕狗失败不成功是否成功换方案几个实例讲解绕狗方法如何挖掘7一、文件上传式1：确定已知条件①.后端代码是否允许上传任意类型文件？（可以上传test.aaa来确定）②.上传的文件文件名会被重写吗？（上传test.jpg便可确定。若被重命名，IIS6.0解析的姿势肯定是用不上了，xxx+文件名这一类除外）③.安全狗是何版本？老的姿势可用吗？（确定安全狗防护策略是否升级）⑤.安全狗过滤了什么？（.as*(可解析的后缀)|.as*%00xxxxx|.as*;）⑥.特殊字符在这里管用吗？（上传拦截和访问拦截是两个不同的流程）⑦.哪里可以插垃圾数据来干扰安全狗的判断？（安全狗处理的数据长度有限）④.安全狗是如何判断用户上传了文件？（安全狗拦截文件上传的工作方式）几个实例讲解绕狗方法如何挖掘8一、文件上传式1：根据已知条件实际操作实际操作分析上传绕过几个实例讲解绕狗方法如何挖掘9二、解析绕过式1：确定已知条件①.已知条件可以参考第7张幻灯片，另附上几条：②.上传有.asp;|.asa;|.cer;|.cdx;关键字为文件名的文件时会被拦截③.假如已上传，访问.asp;|.asa;|.cer;|.cdx;时也会被拦截⑤.安全狗如何在文件名中查找关键字？④.什么样的文件名是合法的？几个实例讲解绕狗方法如何挖掘10二、解析绕过式1：根据已知条件实际操作实际操作分析解析绕过几个实例讲解绕狗方法如何挖掘11三、注入绕过式1：确定已知条件①.select1,2,3未拦截（测试什么样的语句会被拦截，过程复杂，实际操作）②.安全狗拦截了什么？（!(a-zA-Z)(select)!(a-zA-Z)(from)!(a-zA-Z)）③.特殊语法可绕过？（规避关键字，但限制较多）④.哪里可以插入垃圾数据？（保证SQL语句可正常执行）几个实例讲解绕狗方法如何挖掘12三、注入绕过式1：根据已知条件实际操作实际操作分析解析绕过几个实例讲解绕狗方法如何挖掘13四、命令执行绕过式1：确定已知条件①.猜想安全狗如何拦截命令执行？（进程是否由IIS启动，是否在白名单内）②.白名单内的程序是否可以用来运行目标程序？（未果）③.是否可使用第三方程序执行命令？（mssql、mysql、serv-UFtp…）④.哪里可以插入垃圾数据？（保证Windows可以执行目标程序）几个实例讲解绕狗方法如何挖掘14四、命令执行绕过式1：根据已知条件实际操作实际操作分析命令执行绕过绕过后的思考——安全狗的缺陷如何产生？15用户请求安全狗处理安全狗处理查找Select+From查找文件扩展名……是否在白名单是否在黑名单Web容器处理（我能处理的安全狗不一定能处理）请求包含有特殊字符处理不了请求中垃圾数据太多处理不了请求包含未知的特性处理不了请求使用白名单障眼处理不了绕过后的思考——安全狗会修复所有的漏洞？16以往的经验：安全狗某一个点（上传、解析、注入、xss、命令执行）总是能被绕过多次，Why？安全狗自己会挖掘绕过技巧吗？安全狗的回档？研发对某些漏洞的认识不足？修复后性能大打折扣？17I'MHERE!