关于绕过IISWAF-POST注入的一种思路猜想

栏目: ASP.NET · 发布时间: 6年前

内容简介:本文是一种设想绕过IIS WAF的思路猜想,并不代表真正的有这样的漏洞,连作者自己都没有去验证过,仅当大家在吃完晚饭以后刷刷Freebuf打发时间吧。IIS仅限于IIS6,当然不排除把IIS6的插件丢到IIS7上面跑的情况。一. IIS WAF是什么?什么是WAF,关于这个问题不多解释,连面试官都问过我好几次。 IIS WAF是一种利用IIS的ISAPI FILTER插件来完成的一种过滤,拦截WEB工具的软墙。该插件直接安装于IIS扩展属性里。市面上面对应的有早期的MYIIS-VIF,如今的什么什么盾,什

本文是一种设想绕过IIS WAF的思路猜想,并不代表真正的有这样的漏洞,连作者自己都没有去验证过,仅当大家在吃完晚饭以后刷刷Freebuf打发时间吧。IIS仅限于IIS6,当然不排除把IIS6的插件丢到IIS7上面跑的情况。

一. IIS WAF是什么?

什么是WAF,关于这个问题不多解释,连面试官都问过我好几次。 IIS WAF是一种利用IIS的ISAPI FILTER插件来完成的一种过滤,拦截WEB工具的软墙。该插件直接安装于IIS扩展属性里。市面上面对应的有早期的MYIIS-VIF,如今的什么什么盾,什么什么狗,什么什么宝,什么什么防篡改系统。但随着时间的推移,在基于端口转发的NGINX的waf成为了主流(统一拦截)。

二. IIS WAF是怎么做成的?

相关的安装文章等,大家可以在这里看到: https://docs.microsoft.com/en-us/iis/configuration/system.webServer/isapiFilters/ 通俗点,就是利用微软提供的接口文档提前捕获了用户的输入和输出场景,然后用安全的套路去规划和寻找安全风险点。详细的接口文档大家可以看到这里: https://msdn.microsoft.com/zh-tw/library/ms525878.ASPX

三. 针对 SQL 注入来具体聊聊

SQL注入是web安全里的大头,特别是POST注入环节。所有,如果你的渗透测试行为在提交POST参数的被拦截了,肯定是非常头疼的。针对sdk开发中HttpFilterProc回调函数中,对POST数据的拦截主要在回调消息:SF_NOTIFY_READ_RAW_DATA中。

关于绕过IISWAF-POST注入的一种思路猜想 针对SF_NOTIFY_READ_RAW_DATA的消息参数分析,我们可以看到这样的数据结构信息:

typedef struct _HTTP_FILTER_RAW_DATA HTTP_FILTER_RAW_DATA {
      PVOID pvInData;
      DWORD cbInData;
      DWORD cbInBuffer;
      DWORD dwReserved;
} HTTP_FILTER_RAW_DATA, * PHTTP_FILTER_RAW_DATA;

pvindata是传入的原始数据指针地址,cbinData是传入的总数据大小,cbinbuffer是传入的现有数据大小。为了组合数据,我们需要在这个消息体里不断分配内存去拼合数据。站在攻防的角度来分析问题,此时此刻我们应该站在软件设计者的角度来分析问题,因为为了防护的性能和效果,很可能在防护软件开发中存在一些安全代码空洞。

(1) 如何检测传入数据的安全?

对每个cbinbuffer进行检查,包括用正则表达式扫描。

(2)可以把数据全部组合完毕后一起扫描吗?

可行,但万一用户提交的数据非常非常大怎么办?不要把自己玩死。

(3)是否可以折中?

可以,只检测数据前1M的内容。后面的忽略?!

(4)武断点?

只要cbinData够大,就直接断开连接或者输出错误信息。但这样做是不完整的,是不够人性的,是tmd的很武断的……………………..

四 . 攻击猜想

针对cbinBuffer的数据大小,有2000字节的规定,也就是说,我们提交的数据是以做多2000字节的一个Buff来进行处理的。我们是否可以提交这样的数据:

猜想1:

AAAAAAAAAAAAAAAA……AAASEL(2000 BYTE)

ECTAAAAAAA*AAAAA…….AAAF(2000 BYTE)

ROMAAAAAAAAAAAA……AAAA(2000 BYTE)

猜想2:

AAAAAAAAAAAAAA..(200000)……..

(猜想1的数据)

这样的模式是构建比较大的数据,在2000缓冲区的折断区存放需要注入的关键字和数据内容,从而绕过针对特定关键字的检查。反正,都是脑洞大开了,怎么去研究和测试,留给青少年们去吧,反正都是一种猜想,想想而已。欢迎大家来评论区一起碰水。下回我来给大家继续聊聊NGINX waf常被人绕过和忽略的中招小姿势。

关于作者:顾问级网络安全专家,首席软件设计师,有多年大型安全产品和渗透 工具 的开发经验,理论与实践相结合型。专注于大数据分析、数据建模,趋势分析。MYIIS-VIF软件作者(IIS WAF)。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

概率

概率

[俄]施利亚耶夫 / 周概容 / 高等教育出版社 / 2008-1 / 48.00元

《概率(第2卷)(修订和补充第3版)》是俄国著名数学家A.H.施利亚耶夫的力作。施利亚耶夫是现代概率论奠基人、前苏联科学院院士、著名数学家A.H.柯尔莫戈洛夫的学生,在概率统计界和金融数学界影响极大。《概率(第2卷)(修订和补充第3版)》作为莫斯科大学最为出色的概率教材之一。分为一、二两卷,并配有习题集。第二卷《概率(第2卷)(修订和补充第3版)》是离散时间随机过程(随机序列)的内容。重点讲述(强......一起来看看 《概率》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

MD5 加密
MD5 加密

MD5 加密工具