服饰品牌网站建设各种网站底部图标代码
视频教程和更多福利在我主页简介或专栏里
(不懂都可以来问我 专栏找我哦)
目录:
XSS 攻击
引入——十六进制溢出(Hex Overflow)
那么,当你输入 %5% 时,预期会得到什么?
那么,解析器如何处理十六进制中的字母呢?
绕过 WAF
结论
今天分享如何使用 十六进制溢出 绕过 BIG-IP Local Traffic Manager (F5 Networks) Web 应用防火墙(WAF) 的过程。
整个过程看似是一个顺畅的流程,但实际上,情况是相反的。更像是 先解决问题,然后再去理解 问题的本质。
XSS 攻击
最初,我注意到输入内容 未经过适当的过滤,于是我尝试了一个简单的 XSS 负载:
<svg onload=alert()>结果,这个 payload 立即被拦截。
于是,我开始不断尝试不同的输入,直到绕过拦截,最终发现 <svg onload> 可以成功通过。这意味着 onload=(带等号) 其实是被拦截的。 看到这个情况后,我尝试了所有可能的事件处理程序,但没有一个成功。到此就没办法了吗?
引入——十六进制溢出(Hex Overflow)
十六进制(Hexadecimal) 是一种 以 16 为基数的数值系统,由 0-F 组成(即 0123456789ABCDEF),其最大值为 FF。 在 URL 编码中,根据 [RFC 1738 2.2[1]],保留字符或不安全字符 会被编码为 % 符号后跟随两个十六进制数字。例如,%23 代表 #(井号/片段符号)。
十六进制溢出(Hex Overflow) 发生在错误实现的 URL 解码器解析 URL 时,如果它允许超出 0-F 范围的字符(包括符号 [] { } ; : < > ! & 等),就会导致解析异常。
在我测试的目标系统上,解码器的行为非常混乱,完全不符合常规逻辑。 它甚至可能使用了多种不同的解码逻辑,输出的字符全部变成小写,进一步增加了困惑。
那么,当你输入 %5% 时,预期会得到什么?
输出结果竟然是:e(即 0x55)。你可能会好奇,为什么会这样?
解析器的处理过程如下:
1.解析器读取 %5 作为第一个部分,然后遇到了第二个 % 符号。
2.它将第二个 % 重新编码成 %25,然后忽略第一部分的 2,只取 5,最终变成 %55。
3.由于这个字符属于溢出字符(Overflow Character),解析器会对结果的第一部分做 -1 处理,将 %55 变成 %45,即大写字母 E。
4.最终 %7% 解析为 %65,即大写字母 E。
同理:
%8% → %75,即小写 u
%6% → %55,即大写 U。
那么,解析器如何处理十六进制中的字母呢?
在第一阶段,它能正常解析 abcdef,但当发生溢出时,它会将字母当作索引处理,并且从 g 开始计数 0。
经过进一步观察,我发现这些字符可以分为两组不同的集合。而当它们混合使用时,情况会变得更加有趣,就像这样:
如果两个集合中的字符被一起使用,并且其中一个字符来自绿色集合,那么第一位十六进制数字(nibble)会增加 1。例如,输入 %5g,按照此表 %5g 解析为 %50,但由于绿色集合的影响,最终输出 %(5+1)0 或 %60,即反引号 `。
同样,如果输入 %hz(其中 h 来自第二个集合),按照表格 %hz 解析为 %13,但由于溢出机制,最终输出 %(1+2)3 或 %33,即字符 '3'。
但是这种模式并不总是固定的,完整的工作流程也无法完全计算。有时会增加 1,有时会增加 2 或 3,而某些情况下第一位十六进制数字甚至会被减去。但即使如此,这些信息已经足够用于绕过 WAF。
绕过 WAF
在最初的测试中,我们发现几乎没有办法绕过 WAF,因为所有的事件处理程序都被屏蔽了,因此我们需要寻找其他方法。
利用 Hex Overflow,我们可以用许多不同的方法来表示单个 ASCII 字符。例如,等号 =(十六进制 %3d)也可以用 %3= 表示,其解释方式为 %3 %3d,其中第一个 %3 被解析器忽略,使其仍然等于 %3d。
此外,还可以使用 %zd、%z=、%jd、%it(在某些情况下第一位十六进制数字会被 -1 处理)。
因此,我们可以利用这些等价表示来绕过 WAF,例如:
<svg onload%jdonload=alert()>
img
它再次拦截了我们的 Payload,原因?这次是 alert() 函数被屏蔽了。
这个问题可以通过 可选链(optional chaining) 轻松绕过 → alert?.()。
不仅仅限于此,使用许多其他方式也可以绕过,通过使用 Hex Overflow 生成 Payload 的不同部分,比如 %0d (CR) 转换为 ‘%0=’ 或 ‘%w=’,从而使 Payload 变为 <svg onload%w==alert()>。
结论
不过这种存在缺陷的解码器非常罕见,并且可能并非所有解码器都有相同的缺陷。
视频教程和更多福利在我主页简介或专栏里
(不懂都可以来问我 专栏找我哦)
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关