利用 Transfer-Encoding:Chunked 绕过 WAF

利用 Transfer-Encoding: Chunked 绕过 WAF 实战

来源:香依香偎@闻道解惑

找到一个部署了 WAF 的站点。先发一个报文,删除了 cookie

01-normal-request

可以看到服务端返回了 403,证明请求已经到达服务端了。

02-normal-response

接下来,在报文中增加无意义的 /etc/passwd,触发 WAF 拦截规则。

waf-03-inject-request

无法收到响应,请求被 WAF 拦截。

waf-04-none-response

现在我们看看怎么绕过WAF。bypassword《在HTTP协议层面绕过WAF》 中提出了使用 Transfer-Encoding:chunked 来绕过 WAF 的方案,原理是将请求报文的body部分切分成多份来绕过WAF规则。我们来试试。

上一个请求需要做三点改动:

  • 请求的header部分,增加一个 “Tranfer-Encoding: chunked” 的 header
  • 请求的body部分切成多份,每一份都是 “Length+换行+Value+换行” 的格式
  • body部分的最后,增加 “0+空行+空行” 作为结束符

如下所示。

waf-05-chunked-request

可以看到服务端返回了 403,证明请求已经到达服务端了,顺利通过了 WAF 的检测。

waf-06-response

360luoye、00theway、zonadu《利用分块传输吊打所有WAF》 中提到了一个改进方案,就是在每个 Length换行 之间,插入 “分号;”开头的任意注释,进一步混淆 WAF 的处理,就像这样。

waf-07-chunked-comments-request

手工切分 http body 太麻烦了,c0ny1 写了一个 BurpSuite 插件 来实现报文的自动切分,代码在 https://github.com/c0ny1/chunked-coding-converter。插件效果如下。

waf-08-c0ny1-plugin-repeater-chunked-coding

waf-09-c0ny1-plugin-sqlmap-bypassWAF

参考资料: