分块传输绕过WAF

释放双眼,带上耳机,听听看~!

Cobalt Strike手册-环境搭建与基本功能

0x00 简介 Cobalt Strike是一款常用于后渗透的神器,这个工具以团队作为主体,共享信息,拥有多种协议上线方式,集成了端口转发,端口扫描,socket代理,提权,钓鱼等。除去自身功能外,Cobalt Strike还利用了Metasploit和Mimikatz等其他知名工具的功能。 0x0

    WAF作为一种安全产品为Web应用提供安全防护,可以增大攻击者的攻击难度和攻击成本,这一点是不容至疑的。但是,WAF并不是万能的,世界上没有任何一款安全产品可以提供100%的安全防护。由于产品的设计或实现原理,及其他问题都有可能导致攻击者可以成功绕过WAF的防护,来达到攻击后端Web应用的目的。除了WAF自身的安全性以外,现在讨论最多的就是WAF的绕过技术。

   在介绍WAF绕过技术之前,我们必须要要搞明白一个问题,那就是WAF为什么会存在被绕过的风险?这是因为WAF对数据包的解析和Web服务器对数据包的解析两者之间存在差异,所以存在被绕过的可能。下面列出了一些在SQL注入过程中主流的WAF绕过技术:

1、参数污染

2URL重写

例如:http://localhost/uyg/id/123+or+1=1/tp/456

3、加密payload(例如:MD5SHA-1、自定义加密)

4、缓冲区溢出

5、编码绕过

6、特殊字符插入(%00

7、异常HTTP请求包(例如:超级大,不符合HTTP规范但被server容错的数据包)

8、数据包分块传输方式Transfer-Encoding:chunked

这次就给大家分享一下分块传输绕过WAF的经验。

 

分块传输是什么?

 在HTTP0.9中,响应包的结束只是简单的依赖于TCP的连接断开。在HTTP 1.0的响应头增加了一些字段,比如,Content-length用于表示响应包的大小,但却只有在服务器预先知道HTTP头长度的情况下,才能确定Content-length的值。这就意味着如果发送的是动态的内容,那么首先需要缓存数据,在发送前必须要计算出要发送的HTTP头的大小。否则如果依旧按过去的方式,可能TCP连接断开的时候,数据还没有传输完,这时候就不得不中断数据传输,要解决这种情况就不得不让TCP连接一直保持活跃状态。

 

首先测试一下正常不加waf的情况:发现是字符型注入。

我的payload构造是id=1’ and1=1#

id=1’ and 1=2#

以及一些其他的手工注入语句,这里不再详细说,这里说一下union select 1,database(),version()#

【福利】红队安全技术讲解(下)

本文作者:DM(MS08067实验室合伙人 & 红队小组组长) 人才招募:红队小组寻找在内网和红蓝攻防领域志同道合的朋友 红队,根据Redteamsecure.com的定义,红队是一种全范围的多层攻击模拟,旨在衡量公司的人员和网络、应用程序和物理安全控制,用以抵御现实对

然后再装上waf,可以看到被拦截了。

然后:数据包头中添加Transfer-Encoding:chunked进行分块传输,将注入的内容进行分块,发现是可以进行绕过的。

分块传输还有很多有趣的玩法,欢迎各位朋友一些交流学习。

作者:cong9184


来源:Ms08067安全实验室


往期回顾


1.《Web安全攻防》配套视频之lanmp,wamp平台搭建

2.《Web安全攻防》配套视频之dvwa,sql平台搭建

3.【HTB系列】靶机Access的渗透测试详解

界世的你当

作你的肩膀



 ms08067安全实验室

本文源自微信公众号:Ms08067安全实验室

步步为营之游走于内网

侯亮大牛在谈到内网渗透时明确指出内网渗透的本质是信息搜集。在我们拿到一个入口权限后代表一次内网渗透的开始。本篇从整体罗列和介绍了在进行内网渗透时涵盖的流程,主要包括获取接入点权限、信息收集、代理穿透、提升权限、持久化控制、横向移动、回传所需

人已赞赏
安全工具

强烈推荐---[ 中文版 ] 黑客秘笈3 (红队版)

2019-10-14 20:15:15

安全工具

Cobalt Strike手册-环境搭建与基本功能

2019-10-14 20:15:22

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索