深入探讨HTTP绕过WAF的攻防技巧

0X00前言

最近参加重保，和同事闲聊时间，谈起来了外网，彼时信心满满，好歹我也是学了几年，会不少的。结果，扭头看完do9gy师傅的《腾讯 WAF 挑战赛回忆录》，就啪啪打脸了。说来惭愧，最近一段时间，拿到offer就开始飘起来了，现在悔不当初，于是就想写一篇关于这篇Http首部字段文章的”训诂篇”出来，一来当做知识巩固，二来算是完善些和首部字段相关的知识点（可会因为见识不足，导致遗漏）。毕竟，小白可能这方面了解不多，只了解Cookie和Agent这种常见类型的首部字段，却很少听过Accept-Encoding和Content-Encoding这类不太常用的首字部。

0X01基础知识

关于WAF的问题？

它是我们日常攻防演练必会遇见的，在IOS七层模型中，WAF分为网络层、应用层的，当然还有云 WAF（CDN+WAF）这新型类场景的。不同环境下我们绕过WAF的思路也是有所区别的，例如，对于传统的网络层 WAF，采用chunked编码（即对内容进行所谓的”加密”）即可绕过，下次遇见的时候，我们仍然尝试在网络层这一类型上进行尝试和探索。

存在于应用层的WAF，它们的处理引擎是经过前端到达Apache（或者是Nginx）完成 HTTP协议初步解析后，再转交给引擎处理的，这个时候网络层的绕过技术是无效的。这就需要我们去研究：对于一个 HTTP 请求，Nginx 解析了什么内容？交给后面的 PHP、ASP 又解析了什么内容？（探究到这个深度，就需要有良好的编程基础和协议基础，否则，后面及其吃力）。

至于最后的云WAF，我们可以简单的看成CDN加上软件WAF的结合体，既可以抗住DDos攻击，也可以过滤出部分简单的Payload攻击代码，甚至对流量也有一定的清洗作用。

HTTP首部的利用方式？

HTTP 请求头Content-Type的charset编码可以指定内容编码，在国内大多数都是UTF-8编码，但是攻击者在攻击的时候可以替换为 ibm037、 ibm500、cp875等不常用的”偏门”编码来绕过WAF的检测。我们也可以通过设置Content-Type头的值为application/x-www-form或者multipart/form-data;charset=ibm500,boundary=blah等进行绕过。

0X02首字部Encoding

关于Encoding，整个名称应该为Accept-Encoding；它在http协议中的作用是可以对内容（也就是body部分）进行编码。Accept-Encoding: gzip：表示它可以采用gzip这样的编码，从而达到压缩的目的。这样的话关于网络层的WAF是可以被绕过的，当然我们也可以使用其他的编码把内容搅乱或加密，以此来防止未授权的第三方看到文档的内容。当服务端接收到请求，并且从Header里拿到编码标识时，就可以选择其中一种方式来进行编码压缩，然后返给客户端。

浏览器发给服务器,声明浏览器（客户端）支持的编码类型解释

Accept-Encoding设置在请求头当中，会告诉服务器，我可以接受哪种编码压缩

Content-Encoding设置在响应头中，会告诉客户端，我用的是哪种编码压缩

小提示：Encoding的大概意思是：决定文件接收方将以什么形式、什么编码读取这个文件，指定服务器响应的 HTTP 内容类型；这两个header头都会影响服务器对于数据内容的传输格式类型（压缩算法）；文章：参考链接！

小提示：Accept-Encoding: deflate但发现这种方法已经过时了，我们可以换成Accept-Encoding: gzip，发现上传成功。

加密绕过

分块传输绕过

如果在HTTP首字部中加入Transfer-Encoding: chunked。我们就可以利用这个报文采用了分块编码的方式绕过应用层面的WAF。原因的这时是通过POST请求报文中的数据部分，并对数据进行分块传输。每个分块包含十六进制的长度值和数据，长度值独占一行，长度不包括它结尾的，也不包括分块数据结尾的，且最后需要用0独占一行表示结束（同时末尾需要以两个换行结束）。

小提示：上传失败的原因是没有分好考块，这种可以在绕过SQL注入或者XSS的时候进行尝试，不建议和上图一样对图片马进行尝试（关键是不好分块，效率低下）。

0X03首字部Pipeline

众所周知，HTTP协议是由TCP协议封装而来，当浏览器发起一个HTTP请求时，浏览器先与服务器通过TCP协议建立连接，然后发送HTTP 数据包给它，但是这里包含了一个Connection的字段，正常情况下该段的值为close。而且Apache等Web容器会根据这个字段决定是保持该 TCP 连接或是断开。当发送的内容太大，超过一个 HTTP 包容量，需要分多次发送时，值会变成keep-alive，即本次发起的 HTTP 请求所建立的TCP连接不断开，直到所发送内容结束Connection为close时停止。

0X04首字部Disposition

Content-Disposition的具体原理：它是WAF的一个规则，针对文件上传主要是对那个地方去做防护的，所以需要混淆去绕过！！！

由于该协议对 PHP 对解析存在缺陷、使得如果一行有多个 filename 字段值，则PHP构造的Web Server会取最后的filename值进行解析。Web Server最终可以得到的文件名是1.php，但是某些WAF只会判新第一个filename的值，因此 WAF 对上传的文件的过滤检测功能会被黑客绕过，并且这里的form-data是可有可无的类型，就是去掉它也不会影响Web Server获取filename的名称（如下所示）：Content-Disposition: form-data; name=”file1″; filename=”1.txt”;filename=”1.php”;

虽是如此，但filename的编码还会被HTTP请求Content-Type头中charset所影响；Web Server可以根据这个值进行响应的解码处理。这些都有可能被一些人稍微做点手脚，便可以绕过不少WAF的文件上传过滤检测。可能有的师傅会说，那怎么测试啊？这个其实就见仁见智了，我通常会自己搭建一个环境进行Fuzzing字典的黑盒测试；如果是代码审计和CTF功底好的师傅，可能就直接测试一些漏洞点了。所以，这方面大家可以多看看，其他师傅写的文章，平时多学习多做笔记了。