Proxy / WAF Protections Bypass
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Techniques kutoka utafiti huu.
Nginx rule example:
Ili kuzuia bypasses, Nginx inafanya normalization ya njia kabla ya kuangalia. Hata hivyo, ikiwa seva ya nyuma inafanya normalization tofauti (kuondoa wahusika ambao nginx haondoi) inaweza kuwa inawezekana kupita ulinzi huu.
Nginx Version
Node.js Bypass Characters
1.22.0
\xA0
1.21.6
\xA0
1.20.2
\xA0
, \x09
, \x0C
1.18.0
\xA0
, \x09
, \x0C
1.16.1
\xA0
, \x09
, \x0C
Nginx Version
Flask Bypass Characters
1.22.0
\x85
, \xA0
1.21.6
\x85
, \xA0
1.20.2
\x85
, \xA0
, \x1F
, \x1E
, \x1D
, \x1C
, \x0C
, \x0B
1.18.0
\x85
, \xA0
, \x1F
, \x1E
, \x1D
, \x1C
, \x0C
, \x0B
1.16.1
\x85
, \xA0
, \x1F
, \x1E
, \x1D
, \x1C
, \x0C
, \x0B
Nginx Version
Spring Boot Bypass Characters
1.22.0
;
1.21.6
;
1.20.2
\x09
, ;
1.18.0
\x09
, ;
1.16.1
\x09
, ;
Mkonfigu wa Nginx FPM:
Nginx imewekwa kuzuia ufikiaji wa /admin.php
lakini inawezekana kupita hii kwa kufikia /admin.php/index.php
.
Katika chapisho hili inaelezwa kwamba ModSecurity v3 (hadi 3.0.12), ilitekelezwa vibaya REQUEST_FILENAME
variable ambayo ilipaswa kuwa na njia iliyofikiwa (hadi mwanzo wa vigezo). Hii ni kwa sababu ilifanya URL decode ili kupata njia.
Hivyo, ombi kama http://example.com/foo%3f';alert(1);foo=
katika mod security litadhani kwamba njia ni tu /foo
kwa sababu %3f
inabadilishwa kuwa ?
ikimaliza njia ya URL, lakini kwa kweli njia ambayo seva itapokea itakuwa /foo%3f';alert(1);foo=
.
Vigezo REQUEST_BASENAME
na PATH_INFO
pia vilikumbwa na hitilafu hii.
Kitu kama hicho kilitokea katika toleo la 2 la Mod Security ambayo iliruhusu kupita ulinzi ambao ulizuia mtumiaji kufikia faili zenye extensions maalum zinazohusiana na faili za akiba (kama .bak
) kwa kutuma tu dot URL iliyohifadhiwa katika %2e
, kwa mfano: https://example.com/backup%2ebak
.
Utafiti huu unataja kwamba ilikuwa inawezekana kupita sheria za AWS WAF zilizotumika juu ya vichwa vya HTTP kwa kutuma kichwa "kilichovunjika" ambacho hakikupaswa kuchambuliwa vizuri na AWS lakini kilichambuliwa na seva ya nyuma.
Kwa mfano, kutuma ombi lifuatalo lenye SQL injection katika kichwa X-Query:
Iliwezekana kupita AWS WAF kwa sababu haingelewa kwamba mstari unaofuata ni sehemu ya thamani ya kichwa wakati seva ya NODEJS ilifanya (hii ilirekebishwa).
Kwa kawaida WAF zina kikomo fulani cha urefu wa maombi ya kuangalia na ikiwa ombi la POST/PUT/PATCH likipita, WAF haitakagua ombi hilo.
Kwa AWS WAF, unaweza kuangalia nyaraka:
Ukubwa wa juu wa mwili wa ombi la wavuti ambao unaweza kukaguliwa kwa ulinzi wa Application Load Balancer na AWS AppSync
8 KB
Ukubwa wa juu wa mwili wa ombi la wavuti ambao unaweza kukaguliwa kwa ulinzi wa CloudFront, API Gateway, Amazon Cognito, App Runner, na Verified Access**
64 KB
Kutoka nyaraka za Azure:
Firewalls za zamani za Programu za Wavuti zenye Core Rule Set 3.1 (au chini) zinaruhusu ujumbe wenye ukubwa zaidi ya 128 KB kwa kuzima ukaguzi wa mwili wa ombi, lakini ujumbe hizi hazitakaguliwa kwa udhaifu. Kwa toleo jipya (Core Rule Set 3.2 au jipya), jambo sawa linaweza kufanywa kwa kuzima kikomo cha juu cha mwili wa ombi. Wakati ombi linapopita kikomo cha ukubwa:
Ikiwa mode ya kuzuia: Inarekodi na kuzuia ombi.
Ikiwa mode ya kugundua: Inakagua hadi kikomo, inapuuzilia mbali yaliyobaki, na inarekodi ikiwa Content-Length
inazidi kikomo.
Kutoka Akamai:
Kwa kawaida, WAF inakagua tu 8KB za kwanza za ombi. Inaweza kuongeza kikomo hadi 128KB kwa kuongeza Metadata ya Juu.
Kutoka Cloudflare:
Hadi 128KB.
Kulingana na utekelezaji wa Unicode normalization (maelezo zaidi hapa), wahusika wanaoshiriki Unicode compatability wanaweza kuwa na uwezo wa kupita WAF na kutekeleza kama mzigo ulokusudiwa. Wahusika wanaofaa wanaweza kupatikana hapa.
https://github.com/ustayready/fireprox: Tengeneza URL ya API gateway itakayotumika na ffuf
https://github.com/rootcathacking/catspin: Kufanana na fireprox
https://github.com/PortSwigger/ip-rotate: Burp Suite plugin inayotumia IP za API gateway
https://github.com/fyoorer/ShadowClone: Idadi ya muktadha ya mifano ya kontena inatolewa kwa msingi wa ukubwa wa faili ya ingizo na kipengele cha kugawanya, huku ingizo likigawanywa katika vipande kwa ajili ya utekelezaji wa sambamba, kama mifano 100 ikipokea vipande 100 kutoka kwa faili ya ingizo yenye mistari 10,000 na kipengele cha kugawanya cha mistari 100.
Mbinu tofauti zinaweza kutumika kupita vichujio vya regex kwenye moto. Mifano ni pamoja na kubadilisha kesi, kuongeza mapumziko ya mistari, na kuandika payloads. Rasilimali za bypass mbalimbali zinaweza kupatikana kwenye PayloadsAllTheThings na OWASP. Mifano iliyo hapa chini ilitolewa kutoka hiki kifungu.
nowafpls: Burp plugin kuongeza data zisizo na maana kwenye maombi ili kupita WAFs kwa urefu
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)