一次使用十六进制溢出绕过 WAF实现XSS的经历

黑客老李2025-02-11 8:33

视频教程在我主页简介或专栏里

(不懂都可以来问我 专栏找我哦)

目录:

XSS 攻击

引入------十六进制溢出(Hex Overflow)

  那么,当你输入 %5% 时,预期会得到什么?

  那么,解析器如何处理十六进制中的字母呢?

绕过 WAF

结论

今天分享如何使用 十六进制溢出 绕过 BIG-IP Local Traffic Manager (F5 Networks) Web 应用防火墙(WAF) 的过程。

整个过程看似是一个顺畅的流程,但实际上,情况是相反的。更像是 先解决问题 ,然后再去理解 问题的本质

XSS 攻击

最初,我注意到输入内容 未经过适当的过滤,于是我尝试了一个简单的 XSS 负载:

复制代码 
<svg onload=alert()>

结果,这个 payload 立即被拦截

于是,我开始不断尝试不同的输入,直到绕过拦截,最终发现 <svg onload> 可以成功通过。这意味着 onload=(带等号) 其实是被拦截的。 看到这个情况后,我尝试了所有可能的事件处理程序,但没有一个成功。到此就没办法了吗?

引入------十六进制溢出(Hex Overflow)

十六进制(Hexadecimal) 是一种 以 16 为基数的数值系统 ,由 0-F 组成(即 0123456789ABCDEF ),其最大值为 FF 。 在 URL 编码中,根据 [RFC 1738 2.2[1]],保留字符或不安全字符 会被编码为 % 符号后跟随两个十六进制数字。例如,%23 代表 #(井号/片段符号)。

十六进制溢出(Hex Overflow) 发生在错误实现的 URL 解码器 解析 URL 时,如果它允许超出 0-F 范围的字符(包括符号 [] { } ; : < > ! & 等),就会导致解析异常。

在我测试的目标系统上,解码器的行为非常混乱,完全不符合常规逻辑它甚至可能使用了多种不同的解码逻辑,输出的字符全部变成小写,进一步增加了困惑。

那么,当你输入 %5% 时,预期会得到什么?

输出结果竟然是e(即 0x55)。你可能会好奇,为什么会这样?

解析器的处理过程如下:

1.解析器读取 %5 作为第一个部分,然后遇到了第二个 % 符号。

2.它将第二个 % 重新编码成 %25,然后忽略 第一部分的 2,只取 5,最终变成 %55

3.由于这个字符属于溢出字符(Overflow Character) ,解析器会对结果的第一部分做 -1 处理 ,将 %55 变成 %45,即大写字母 E

4.最终 %7% 解析为 %65,即大写字母 E

同理:

%8%%75,即小写 u

%6%%55,即大写 U

那么,解析器如何处理十六进制中的字母呢?

第一阶段 ,它能正常解析 abcdef ,但当发生溢出时,它会将字母当作索引处理 ,并且g 开始计数 0

经过进一步观察,我发现这些字符可以分为两组不同的集合。而当它们混合使用时,情况会变得更加有趣,就像这样:

如果两个集合中的字符被一起使用,并且其中一个字符来自绿色集合,那么第一位十六进制数字(nibble)会增加 1。例如,输入 %5g,按照此表 %5g 解析为 %50,但由于绿色集合的影响,最终输出 %(5+1)0%60,即反引号 `

同样,如果输入 %hz(其中 h 来自第二个集合),按照表格 %hz 解析为 %13,但由于溢出机制,最终输出 %(1+2)3%33,即字符 '3'

但是这种模式并不总是固定的,完整的工作流程也无法完全计算。有时会增加 1,有时会增加 2 或 3,而某些情况下第一位十六进制数字甚至会被减去。但即使如此,这些信息已经足够用于绕过 WAF。

绕过 WAF

在最初的测试中,我们发现几乎没有办法绕过 WAF,因为所有的事件处理程序都被屏蔽了,因此我们需要寻找其他方法。

利用 Hex Overflow ,我们可以用许多不同的方法来表示单个 ASCII 字符。例如,等号 =(十六进制 %3d )也可以用 %3= 表示,其解释方式为 %3 %3d ,其中第一个 %3 被解析器忽略,使其仍然等于 %3d

此外,还可以使用 %zd%z=%jd%it(在某些情况下第一位十六进制数字会被 -1 处理)。

因此,我们可以利用这些等价表示来绕过 WAF,例如:

复制代码 
<svg onload%jdonload=alert()>

img

它再次拦截了我们的 Payload,原因?这次是 alert() 函数被屏蔽了。

这个问题可以通过 可选链(optional chaining) 轻松绕过 → alert?.()

不仅仅限于此,使用许多其他方式也可以绕过,通过使用 Hex Overflow 生成 Payload 的不同部分,比如 %0d (CR) 转换为 '%0=''%w=' ,从而使 Payload 变为 <svg onload%w==alert()>

结论

不过这种存在缺陷的解码器非常罕见,并且可能并非所有解码器都有相同的缺陷。

视频教程在我主页简介或专栏里

(不懂都可以来问我 专栏找我哦)

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关

相关推荐
唐僧洗头爱飘柔95273 分钟前
【SSM-SpringMVC(二)】Spring接入Web环境!本篇开始研究SpringMVC的使用!SpringMVC数据响应和获取请求数据
java·spring·文件上传·页面跳转·数据响应·获取请求数据·静态资源访问
-曾牛5 分钟前
Spring AI 集成 Mistral AI:构建高效多语言对话助手的实战指南
java·人工智能·后端·spring·microsoft·spring ai
FAREWELL000756 分钟前
Unity基础学习(九)输入系统全解析:鼠标、键盘与轴控制
学习·unity·c#·游戏引擎
刺客-Andy9 分钟前
React 第三十九节 React Router 中的 unstable_usePrompt Hook的详细用法及案例
前端·javascript·react.js
PWRJOY9 分钟前
Ubuntu磁盘空间分析:du命令及常用组合
linux·运维·ubuntu
Go_going_15 分钟前
【js基础笔记] - 包含es6 类的使用
前端·javascript·笔记
wanhengidc26 分钟前
SCDN能够运用在物联网加速当中吗?
运维·服务器·网络
郜太素34 分钟前
PyTorch 中神经网络相关要点(损失函数,学习率)及优化方法总结
人工智能·pytorch·python·深度学习·神经网络·学习
在未来等你34 分钟前
互联网大厂Java求职面试:电商商品推荐系统中的AI技术应用
java·缓存·kafka·推荐系统·向量数据库·jvm调优·spring ai
leona_nuaa40 分钟前
p2p虚拟服务器
服务器·网络协议·p2p
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04【解决】Android Gradle Sync 报错 Could not read workspace metadata05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06DeepSeek各版本说明与优缺点分析07苍穹外卖面试总结08Coze扣子平台完整体验和实践(附国内和国际版对比)09西电B测-计算机网络综合实验(含验收问题)10yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)