一、前言
随着攻击方式的层出不穷,市面上的网络waf也不断迭代,以至于使用传统的绕过手段无法起到显著的效果。为了能够达到通用型绕过的目的,我们就不能死磕编码和正则绕过,而是应该从其他方面去寻找对策。
二、修改数据包绕过(POST传参)
2.1、解析
HTTP协议对于POST请求,除了常规的application/x-www-form-urlencoded以外,还有multipart/form-data这种形式,其主要是为了解决文件上传场景下文件内容较大且内置字符不可控的问题。multipart/form-data格式也是可以传递POST参数的。 对于Nginx+PHP的架构,Nginx实际上是不负责解析multipart/form-data的body部分的,而是交给PHP来解析,因此WAF所获取的内容就很有可能与后端的PHP获取的内容发生不一致。
首先构造一个接收数据的php文件:
然后抓包上传数据,我们将GET请求修改为POST请求后并删掉无用的字段:
发现后端的file_get_contents接收到的是POST的数据形式:
但是当我们把Content-Type字段修改为multipart/form-data,发现后端并不认为这个是文件数据,内容2222222也被当做POST数据接收了:
上面的原因是因为我们没有写 filename= 这个关键参数,所以即使数据类型是multipart/form-data,后端检测不到这个参数时也会把它当做POST数据接收,但是WAF就可能会
于一些WAF产品处于降低误报考虑,对用户上传文件的内容不做匹配,直接放行(并且WAF也不能准确识别哪些内容是传递给_POST数组的,那些内容是传递给_FILES数组的)。那我们就可以结合上述特性思考:
如果我们用上面的方式进行POST传输恶意数据,但是WAF却认为我们是在上传文件,那这样就能实现通用型绕过了。
2.2、00截断
截断filename
绕过失败 :
2.3、双写Content-Disposition
成功绕过:
2.4、boundary绕过
成功绕过:
