Proxy / WAF Protections Bypass
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Techniki z tego badania.
Przykład reguły Nginx:
Aby zapobiec obejściom, Nginx wykonuje normalizację ścieżek przed ich sprawdzeniem. Jednak jeśli serwer zaplecza wykonuje inną normalizację (usuwając znaki, których Nginx nie usuwa), może być możliwe obejście tej obrony.
Wersja Nginx
Znaki do obejścia Node.js
1.22.0
\xA0
1.21.6
\xA0
1.20.2
\xA0
, \x09
, \x0C
1.18.0
\xA0
, \x09
, \x0C
1.16.1
\xA0
, \x09
, \x0C
Wersja Nginx
Znaki do obejścia Flask
1.22.0
\x85
, \xA0
1.21.6
\x85
, \xA0
1.20.2
\x85
, \xA0
, \x1F
, \x1E
, \x1D
, \x1C
, \x0C
, \x0B
1.18.0
\x85
, \xA0
, \x1F
, \x1E
, \x1D
, \x1C
, \x0C
, \x0B
1.16.1
\x85
, \xA0
, \x1F
, \x1E
, \x1D
, \x1C
, \x0C
, \x0B
Wersja Nginx
Znaki do obejścia Spring Boot
1.22.0
;
1.21.6
;
1.20.2
\x09
, ;
1.18.0
\x09
, ;
1.16.1
\x09
, ;
Konfiguracja Nginx FPM:
Nginx jest skonfigurowany, aby blokować dostęp do /admin.php
, ale można to obejść, uzyskując dostęp do /admin.php/index.php
.
W tym poście wyjaśniono, że ModSecurity v3 (do 3.0.12) nieprawidłowo zaimplementował zmienną REQUEST_FILENAME
, która miała zawierać dostępny path (do początku parametrów). Dzieje się tak, ponieważ wykonano dekodowanie URL, aby uzyskać path.
Dlatego żądanie takie jak http://example.com/foo%3f';alert(1);foo=
w mod security będzie zakładać, że path to tylko /foo
, ponieważ %3f
jest przekształcane w ?
, kończąc path URL, ale w rzeczywistości path, który otrzyma serwer, będzie /foo%3f';alert(1);foo=
.
Zmienne REQUEST_BASENAME
i PATH_INFO
również były dotknięte tym błędem.
Coś podobnego miało miejsce w wersji 2 Mod Security, która pozwalała na obejście ochrony, która uniemożliwiała użytkownikom dostęp do plików z określonymi rozszerzeniami związanymi z plikami kopii zapasowej (takimi jak .bak
), po prostu wysyłając kropkę zakodowaną w URL jako %2e
, na przykład: https://example.com/backup%2ebak
.
To badanie wspomina, że możliwe było obejście reguł AWS WAF stosowanych do nagłówków HTTP, wysyłając "nieprawidłowy" nagłówek, który nie był prawidłowo analizowany przez AWS, ale był przez serwer zaplecza.
Na przykład, wysyłając następujące żądanie z SQL injection w nagłówku X-Query:
Możliwe było ominięcie AWS WAF, ponieważ nie rozumiał, że następna linia jest częścią wartości nagłówka, podczas gdy serwer NODEJS to rozumiał (to zostało naprawione).
Zwykle WAF-y mają określony limit długości żądań do sprawdzenia, a jeśli żądanie POST/PUT/PATCH jest większe, WAF nie sprawdzi żądania.
Dla AWS WAF, możesz sprawdzić dokumentację:
Maksymalny rozmiar ciała żądania sieciowego, które może być sprawdzane dla ochrony Application Load Balancer i AWS AppSync
8 KB
Maksymalny rozmiar ciała żądania sieciowego, które może być sprawdzane dla ochrony CloudFront, API Gateway, Amazon Cognito, App Runner i Verified Access**
64 KB
Starsze zapory aplikacji internetowych z Core Rule Set 3.1 (lub niższym) pozwalają na wiadomości większe niż 128 KB poprzez wyłączenie inspekcji ciała żądania, ale te wiadomości nie będą sprawdzane pod kątem podatności. W nowszych wersjach (Core Rule Set 3.2 lub nowszych) to samo można osiągnąć, wyłączając maksymalny limit ciała żądania. Gdy żądanie przekracza limit rozmiaru:
Jeśli tryb zapobiegania: Rejestruje i blokuje żądanie.
Jeśli tryb wykrywania: Sprawdza do limitu, ignoruje resztę i rejestruje, jeśli Content-Length
przekracza limit.
Z Akamai:
Domyślnie WAF sprawdza tylko pierwsze 8KB żądania. Może zwiększyć limit do 128KB, dodając zaawansowane metadane.
Z Cloudflare:
Do 128KB.
W zależności od implementacji normalizacji Unicode (więcej informacji tutaj), znaki, które mają zgodność z Unicode, mogą być w stanie obejść WAF i wykonać zamierzony ładunek. Zgodne znaki można znaleźć tutaj.
https://github.com/ustayready/fireprox: Generuj URL bramy API do użycia z ffuf
https://github.com/rootcathacking/catspin: Podobne do fireprox
https://github.com/PortSwigger/ip-rotate: Wtyczka Burp Suite, która używa IP bramy API
https://github.com/fyoorer/ShadowClone: Dynamically determined number of container instances are activated based on the input file size and split factor, with the input split into chunks for parallel execution, such as 100 instances processing 100 chunks from a 10,000-line input file with a split factor of 100 lines.
Różne techniki mogą być używane do omijania filtrów regex na zaporach. Przykłady obejmują naprzemienną wielkość liter, dodawanie łamań linii i kodowanie ładunków. Zasoby dotyczące różnych obejść można znaleźć na PayloadsAllTheThings oraz OWASP. Przykłady poniżej zostały zaczerpnięte z tego artykułu.
nowafpls: Wtyczka Burp do dodawania niepotrzebnych danych do żądań w celu obejścia WAF-ów przez długość
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)