WAF检测研究一

WAF检测研究一
1 敏感内容扫描
俗话说知己知彼方能百战不殆,当黑客或渗透测试人员面对一个未知站点时,这个站点对他们来说就是一个黑盒。这时候不妨拿敏感内容扫描器先给它来个一把嗦摸摸底,指不定就能扫到有价值信息,找到撬动安全防护缺口的第一把钥匙。
敏感内容扫描器通常具备一系列敏感路径及敏感文件的字典,扫描器利用这些敏感内容字典对站点进行盲扫来判断是否存在这些敏感内容;进一步地,通过响应数据包对站点目录结构及其他信息进行判断,为下一步针对性单点突破作准备。
这里提到了一个字典的概念,字典这玩意很重要,可以说字典的质量、广度和深度决定了这个扫描器的上限。相对于IP代理、UA伪造、随机化访问时间间隔这些伪装手段来说,敏感内容是固定的,翻来覆去就这么多东西,同时因为请求资源不存在大多数会返回404状态码(有些会触发WAF拦截策略返回403,还有些因为服务器设置了默认跳转状态码为301或302)。攻方选手通常不会构造毫无意义的字典内容来浪费有限的资源和精力,这些字典通常包含如下内容信息(忽略大小写):
敏感目录信息:如/admin/, /phpadmin/, /mysqladmin/, /usr/local/, /etc/passwd/, …
敏感配置文件:如.bashrc, .bash_history, conf.icn, config.inc, …
版本文件信息:如/.git/config, /.svn/entries, /.bzr/xxx, …
备份文件信息:如bak, index.php.bak, database.wsp, backup.zip, …
密钥文件信息:如/.ssh/id_rsa, /.ssh/known_hosts, id_rsa.pub, authorized_keys, …
日志文件信息:如/logs/error.log, /logs/auth.log, /var/log/mysql/mysql.log, …
其他敏感文件:如php, system.inc, mysql.inc, shell.php, …

2 Web漏洞扫描
漏洞扫描器通常会与爬虫相结合。首先利用爬虫获取到页面可能存在注入点的接口,然后针对该接口来一个SQl注入、XSS注入、命令注入一把嗦,对于一些安全防护意识低的站点往往能取到最直接的效果。针对这类扫描请求,WAF都能够做到单点正则过滤,理论上会拦截返回大量403状态码,但是扫描器常针对一些新域名或偏僻的域名进行扫描,这些域名往往没有启用WAF攻击防护,因此实际上是有很多是未被拦截的非403状态码。同上述敏感内容扫描,这类请求往往也具备明显的文本特征,下面分别以SQL注入、文件包含和XSS跨站扫描举例。

2.1 sql注入漏洞扫描
SQL注入攻击是一种注入攻击,它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令;通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。
首先,判断接口是否存在注入点,如:
若参数ID为数字,加减运算判断是否存在数字型注入;
参数后加单双引号,判断返回结果是否报错;
添加注释符判断前后是否有报错:如id=1’ --+ 或 id=1" --+或id=1’ #或id=1" --+;
有些参数可能在括号里面,所以也可以在参数后面加单双引号和括号,如id=1’) --+或 id=1") --+或id=1’) #或id=1") --+;
参数后面跟or 或者and,判断返回结果是否有变化,如1’ or ‘a’=‘a或者and ‘a’=‘a或者1’ or ‘a’=‘b或者1’ or ‘1’=‘2;
也可以考虑时间延迟的方法判断是否存在注入,如 1’ and sleep(5)。
然后对存在注入漏洞的点利用联合查询一步步获取信息,如:
查询数据库名:id=0’ union select NULL,database(),NULL --+ ;
爆库名:id=0’ union select null,groupconcat(schemaname),null from information_schema.schemata --+;
爆表名:id=0’ union select null,groupconcat(tablename),null from informationtables where tableschema=‘security’ --+;
爆字段名:id=0’ union select null,groupconcat(columnname),null from informationcolumns where tableschema=‘security’ and table_name=‘users’ --+;
或者通过报错回显查询结果,如:
回显数据库名:and extractvalue(1,concat(0x7e,(select database())));
回显表名:
and extractvalue(1,concat(0x7e,(select groupconcat(tablename) from informationtables where tableschema=‘security’ ))) ;
回显列名:
and extractvalue(1,concat(0x7e,(select groupconcat(columnname) from informationcolumns where tableschema=‘security’ and table_name=‘users’)))。

2.2 文件包含漏洞扫描
服务器通过PHP的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,非法用户可以构造这个恶意文件来达到恶意的目的,如读取目标主机上的其他文件,远程文件包含可运行的PHP木马,包含一个创建文件的PHP文件,本地文件包含等。
Include:包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行;
Require:跟include唯一不同的是,当产生错误时候,include下面继续运行而require停止运行了;
Include_once:这个函数跟include函数作用几乎相同,只是他在导入函数之前先检测下该文件是否被导入,如果已经执行一遍那么就不重复执行了;
Requireonce:这个函数跟require的区别 跟上面所讲的include和includeonce一样。

2.3 XSS跨站漏洞
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该网页时,嵌入网页中的Script代码会被执行,从而达到恶意攻击用户的目的。与正常请求相比,XSS请求也具备明显的文本特征,如,WAF检测研究一等。

​如果想了解更多安全知识,或者有问题,都可以关注以下公众号,私信我:
WAF检测研究一

上一篇:ceph读写性能预估


下一篇:中小企业自建云WAF有多难?只需20分钟!而且:全程免费