渗透测试中的Bypass技巧(I)之架构层绕过WAF

2017-03-04 19,007

本文《渗透测试中的Bypass技巧(I)之架构层绕过WAF》一叶知安团队原创投稿安全脉搏,作者:倾旋,安全脉搏发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。

0x00 前言

许多朋友在渗透测试中因为遇到WAF而束手无策,本人应邀,与godkiller一同写下此文,希望能够对许多朋友的问题有所帮助。

此系列一共分为五篇文章,分别如下:

  • 架构层绕过WAF
    • CDN WAF绕过
    • 白名单应用
  • 匹配资源大小限制
    • 服务器端配置(Data MAX Length)
  • 协议未正确解析
    • HTTP不同的请求方法污染
    • GET与POST的区别
    • 文件上传
    • HTTP参数污染(HPP)
  • 发现WAF缺陷过程
    • 绕过某WAF上传
    • 绕过某WAF注入
    • 自动化Bypass
    • 思考
  • 过滤/拦截规则不严谨
    • 等价替换
    • 大小写替换
    • 不常用条件
    • 特殊符号
    • 编码
    • 注释

bypass1

0x01 CDN WAF绕过

CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。 --来源“百度”

目前CDN服务的功能是越来越多,安全性也越加强悍,用户的每个请求都会被发送到指定的CDN节点上,最后转发给真实站点。

这个过程就好像加了一道关卡,这个关卡提供了缓存、加速、防御的特点。

在渗透测试中,如果遇到了CDN站点,几乎许多测试请求都会被CDN拦截,甚至多次请求后,会被加入黑名单。

这个CDN节点属于云端WAF,如果将数据直接发送给真实站点,那么也就没有CDN的处理了,整个防御就没有任何作用。

那么下面我来带给大家几个方法来绕过云端WAF。首先我们必须要查询到目标站点的真实地址才可以,这里的真实地址就指的是真实IP。以下几个方法只是个人之见,如果有遗漏或者缺点,请在文章评论指出……

第一个,查询域名历史DNS解析,网上有很多站点都可以查询站点的历史DNS解析。假设我在本月10号,域名绑定的服务器IP是199.199.199.***,在下月15号更换了服务器的IP,那么这个199.199.199.***可能就会被直接记录在历史记录中。再根据历史记录进行判断当前IP是否是现在的网站真实服务器地址。

0x01

第二个,查看子域名解析地址是否和主域名的IP地址相近。一般再查询域名是否存在CDN的话,我们可以看响应头、或者看解析记录,里面大多都有关于云端CDN的字眼。当然提倡写脚本,Kali Linux中也有工具 ~

0x02

第三个,社工DNS 比较苛刻,需要拿到CDN那边的管理员权限开可以。

第四个,CDN节点分发缺陷,通过国外IP访问网站可能会出现真实IP,因为有的CDN服务商可能只做了国内节点,没做国外的,这样访问请求是直接被转发到真实服务器地址上。

那么下面来概述一下得到了绕过的条件如何进行绕过,假设服务器端的IP地址为121.121.1x1.1x1,管理员设置了CDN节点,经过上面的方法得到真实IP地址后,可以直接更改本地的hosts文件来直接将数据发送到网站服务器上。这里不再详细概述啦~

 

0x02 白名单应用(子域名)

在有些时候,某些厂商的环境刚刚上线,用于调试项目,并没有直接将子域名添加至CDN节点,那么就有可能出现某些安全隐患,因为刚上线的项目都没有任何防御措施,如果当前项目与目标站点搭建在同一个服务器中,也会成为我们绕过WAF的有利条件。

当然白名单应用不止一个上线项目,还有某些管理应用,例如:phpmyadmin,其操作完全不会被WAF拦截,当然应用过多,本人不才,只接触一些常见的,欢迎补充。

感谢大家的支持。

 

本文《渗透测试中的Bypass技巧(I)之架构层绕过WAF》一叶知安团队原创投稿安全脉搏,作者:倾旋,安全脉搏发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。

 

本文作者:一叶知安

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/56495.html

Tags:
评论  (0)
快来写下你的想法吧!

一叶知安

文章数:14 积分: 49

一叶知安致力于分享渗透测试中的各种实战技巧,以及其他好玩有意思的黑客技术。“自由”、“分享”是一叶从始至终的宗旨。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号