当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104525

漏洞标题:ngx_lua_waf利用HPP完全绕过防御机制

相关厂商:ngx_lua_waf

漏洞作者: phith0n

提交时间:2015-03-29 11:12

修复时间:2015-06-30 13:50

公开时间:2015-06-30 13:50

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-29: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向第三方安全合作伙伴开放
2015-05-26: 细节向核心白帽子及相关领域专家公开
2015-06-05: 细节向普通白帽子公开
2015-06-15: 细节向实习白帽子公开
2015-06-30: 细节向公众公开

简要描述:

这个洞比较有意思,利用代码中的一段错误,导致我们可以利用hpp来完全绕过防御规则。
WAF绕过中,对规则与正则的绕过总是有局限性的。这个洞也如我之前发的360webscan白名单绕过一样,不管你用怎样严格的正则,防御怎样的攻击,我这里直接无视。
不过与360webscan使用pathinfo来绕过不一样,我这里利用的是hpp(HTTP Parameter Pollution)。
这是不是乌云里第一个lua白盒审计漏洞~

详细说明:

首先,ngx_lua_waf是基于lua-nginx-module的一个灵活性很强的WAF,并且相对于脚本层的WAF(如360webscan等),效率也是相对高很多的。在drops里也对大家做了一些介绍:http://drops.wooyun.org/tips/5136
项目地址为:https://github.com/loveshell/ngx_lua_waf
看到ngx_lua_waf下init.lua的代码:https://github.com/loveshell/ngx_lua_waf/blob/master/init.lua 92行

function args()
for _,rule in pairs(argsrules) do
local args = ngx.req.get_uri_args()
for key, val in pairs(args) do
if type(val)=='table' then
if val == false then
data=table.concat(val, " ")
end
else
data=val
end
if data and type(data) ~= "boolean" and rule ~="" and ngxmatch(unescape(data),rule,"imjo") then
log('GET',ngx.var.request_uri,"-",rule)
say_html()
return true
end
end
end
return false
end


如上,args函数是针对GET请求的防御函数。argsrules是预置的规则table。
local args = ngx.req.get_uri_args(),这句话获取了GET变量作为局部变量args的值。
下面的for循环遍历args变量,key和val就是GET的键和值。
很奇怪的是这一段:

if type(val)=='table' then
if val == false then
data=table.concat(val, " ")
end
else


先判断val的类型是否是table类型,如果是再判断他是否等于false。
这个逻辑明显有问题(既然是table,为何又等于false?),不知道是不是因为作者的笔误。不管是笔误也好,基于其他考虑也好,我们来思考一下这个语句会造成怎样的后果。
lua里table实际上就是类似于数组的东西,我们如果访问http://target/?a=1&a=2&a=3的话,这里的val就是{1,2,3}。
所以,type(val)=='table'是成立的,而val是不可能等于false的,没有进入中间的if语句。所以这时,data实际上是没赋值的(值是nil或上一次data的值,因为lua里默认变量都是全局的)!
而之后进行拦截的if语句:if data and type(data) ~= "boolean" and rule ~="" and ngxmatch(unescape(data),rule,"imjo") then
因为data == nil(或上一次的值,也就是上一次提交的val,我们可以控制的,让他等于一个不被拦截的值),所以这个if语句也是不成立的,所以最后实际上args函数啥也没干就结束了!
所以这里,我们通过HPP的方式(/?a=1&a=2&a=3),绕过了ngx_lua_waf对GET变量的防御。
有一点要注意的,上一次的val一定不能被拦截,否则因为这次data沿用的上一次的val,所以也会拦截,即使使用hpp也绕不过。这里提一下,免得测试的时候出错。
另外,我提另一个正则的问题。
在源码中,我们可以看到所有正则都有用m修饰:ngxmatch(unescape(data),rule,"imjo")
m表示multiline,匹配多行,也就是.是不匹配换行符的。所以导致我们可以直接用union%0aselect绕过默认的防御正则,不过这都是小问题了,将m改成s即可。

漏洞证明:

首先搭建好一切环境,并写一个waf.php如下:

<?php
header("X-XSS-Protection: 0");
echo $_GET['a'];
?>


很简单一个存在XSS漏洞的脚本,XSS测试比较方便,不用另外搭数据库什么的。
先测试一下http://vps-rpi/waf.php?a=1&a=2&a=%3Cimg%20src=1%20onerror=alert(1)%3E,利用hpp来绕过WAF,造成弹窗:

QQ20150329-2@2x.png


再测试一下,不利用hpp直接访问http://vps-rpi/waf.php?a=%3Cimg%20src=1%20onerror=alert(1)%3E:

QQ20150329-1@2x.png


可见被防御了。
访问了这两次以后,此时data==<img%20src=1%20onerror=alert(1)>。这个时候如果再用第一个payload,就会失败了。所以,只需要将data变成一个不会被拦截的值即可,那么就访问一下http://vps-rpi/waf.php?a=111,data就变成111了。之后,我们只要不访问/waf.php?a=<img%20src=1%20onerror=alert(1)>,那data的值就永远等于111。
另外,对于m和s的问题,这里也给个截图:

QQ20150329-4@2x.png


QQ20150329-5@2x.png


这个漏洞,虽然影响不大,但思路还是挺有意思。

修复方案:

那块逻辑有问题的代码需要改一下。
可以改成这样:

function args()
for _,rule in pairs(argsrules) do
local args = ngx.req.get_uri_args()
for key, val in pairs(args) do
if type(val)=='table' then
data=table.concat(val, " ")
else
data=val
end
if data and type(data) ~= "boolean" and rule ~="" and ngxmatch(unescape(data),rule,"ijos") then
log('GET',ngx.var.request_uri,"-",rule)
say_html()
return true
end
end
end
return false
end

版权声明:转载请注明来源 phith0n@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-01 13:48

厂商回复:

未直接确认, 同时未建立与所述涉及的软件厂商的直接处置渠道,待认领。

最新状态:

暂无