WAF 延时分块传输绕过


前言

之前写过两篇关于WAF分块传输绕过内容对文章,对于分块传输不太熟悉的可以先看前两篇内容,本篇文章也是在其基础内容上进行扩充。

  1. 《WAF 分块传输绕过》
  2. 《WAF HTTP协议覆盖+分块传输组合绕过》

0x01 WAF分块传输利用

1.SQL注入绕过

在HTTP协议覆盖的基础上可以配合分块编码传输组合绕过WAF检测

利用chunked-coding-converter插件功能一键分块传输编码

编码后

2.命令执行绕过

与SQL注入绕过同理,利用分块传输编码绕过WAF检测,成功执行系统命令

编码前

编码后

3.文件上传绕过

在有WAF防护的情况下,直接上传php等脚本后缀格式文件会被检测拦截。利用分块传输编码绕过WAF检测,成功上传php等脚本文件

编码前

编码后

0x02 WAF延时分块传输

前面简单介绍了WAF分块传输的几种应用场景,实际利用场景远不局限于上述几种,只要目标系统是支持HTTP/1.1的POST包都支持分块传输。接下来再介绍一下WAF延时分块传输的利用方式。

1. 延时分块传输简介

分块传输已经被公开多年了,目前很多WAF都已经支持WAF分块传输检测,可以通过延时分块传输绕过普通WAF检测规则。

WAF一般通过以下步骤检测分块传输内容:

  1. 发现数据包是分块传输,启动分块传输线程进行接收
  2. 分块传输线程不断接收客户端传来的分块,直到接收到0\r\n\r\n
  3. 将所有分块合并,并检测合并之后的内容

chunked-coding-converter 插件实现了在上一块传输完成后,sleep一段时间,再发送下一块。 目的是在2阶段延长WAF分块传输线程的等待时间,从而消耗WAF性能。

注意:块与块之间发送的间隔时间必须要小于后端中间件的post timeout,Tomcat默认是20s,weblogic是30s。

为了加大WAF的识别难度,chunked-coding-converter 插件支持了延时时间随机化、分块长度随机化、垃圾注释内容与长度随机化[可选]等。

chunked-coding-converter 插件可以显示预估分块数量范围和延时范围,显示每一块发送的内容,长度,延时时间以及发送状态等等。

2. 延时分块传输插件

如果你的BurpSuite启动时使用了汉化插件,并且使用的是作者默认打包好chunked-coding-converter 插件,则可能会出现如下报错:

通过排查原因,发现原作者插件的代码中只识别英文的StartStopClear等,汉化插件会将英文转化为开始停止清空等,导致插件无法识别功能按钮,从而导致运行插件报错。

知道原因后就可以解决问题了,为了不影响汉化插件和分块传输插件的同时使用,博主修改分块传输插件的源码按钮的Start修改为StartChunkedStop修改为StopChunkedClear修改为ClearChunked等,最终重新打包插件效果如下:

3. 延时分块传输利用

以SQL注入绕过为例,直接在数据包界面使用chunked-coding-converter插件的sleep chunked sender功能

可以根据实际场景设置好分块传输的长度,以及分块传输的延迟时间,配置好后点击右上角的Start功能,即可开始延时分块传输

延时分块传输结束以后,可以在Response界面查看SQL注入后的响应数据包的结果

参考文章


文章作者: LuckySec
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 LuckySec !
评论
 上一篇
Nessus 高级扫描策略 Nessus 高级扫描策略
Nessus号称是世界上最流行的漏洞扫描程序,通常包括成千上万的最新的漏洞,各种各样的扫描选项,及易于使用的图形界面和有效的报告。
2022-03-20
下一篇 
Redis未授权漏洞总结 Redis未授权漏洞总结
redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。
2022-03-10
  目录