ngx_lua_waf利用HPP完全绕过防御机制

漏洞概要

缺陷编号:WooYun-2015-0104525

漏洞标题:ngx_lua_waf利用HPP完全绕过防御机制

相关厂商:ngx_lua_waf

漏洞作者:phith0n

提交时间:2015-03-31 11:12

公开时间:2015-06-30 13:50

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-03-31: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-05-26: 细节向核心白帽子及相关领域专家公开
2015-06-05: 细节向普通白帽子公开
2015-06-15: 细节向实习白帽子公开
2015-06-30: 细节向公众公开

简要描述:

这个洞比较有意思,利用代码中的一段错误,导致我们可以利用hpp来完全绕过防御规则。
WAF绕过中,对规则与正则的绕过总是有局限性的。这个洞也如我之前发的360webscan白名单绕过一样,不管你用怎样严格的正则,防御怎样的攻击,我这里直接无视。
不过与360webscan使用pathinfo来绕过不一样,我这里利用的是hpp(HTTP Parameter Pollution)。
这是不是乌云里第一个lua白盒审计漏洞~

详细说明:

首先,ngx_lua_waf是基于lua-nginx-module的一个灵活性很强的WAF,并且相对于脚本层的WAF(如360webscan等),效率也是相对高很多的。在drops里也对大家做了一些介绍:http://**.**.**.**/tips/5136项目地址为:https://**.**.**.**/loveshell/ngx_lua_waf看到ngx_lua_waf下init.lua的代码:https://**.**.**.**/loveshell/ngx_lua_waf/blob/master/init.lua 92行

如上,args函数是针对GET请求的防御函数。argsrules是预置的规则table。local args = ngx.req.get_uri_args(),这句话获取了GET变量作为局部变量args的值。下面的for循环遍历args变量,key和val就是GET的键和值。很奇怪的是这一段:

先判断val的类型是否是table类型,如果是再判断他是否等于false。这个逻辑明显有问题(既然是table,为何又等于false?),不知道是不是因为作者的笔误。不管是笔误也好,基于其他考虑也好,我们来思考一下这个语句会造成怎样的后果。lua里table实际上就是类似于数组的东西,我们如果访问http://target/?a=1&a=2&a=3的话,这里的val就是{1,2,3}。所以,type(val)=='table'是成立的,而val是不可能等于false的,没有进入中间的if语句。所以这时,data实际上是没赋值的(值是nil或上一次data的值,因为lua里默认变量都是全局的)!而之后进行拦截的if语句:if data and type(data) ~= "boolean" and rule ~="" and ngxmatch(unescape(data),rule,"imjo") then因为data == nil(或上一次的值,也就是上一次提交的val,我们可以控制的,让他等于一个不被拦截的值),所以这个if语句也是不成立的,所以最后实际上args函数啥也没干就结束了!所以这里,我们通过HPP的方式(/?a=1&a=2&a=3),绕过了ngx_lua_waf对GET变量的防御。有一点要注意的,上一次的val一定不能被拦截,否则因为这次data沿用的上一次的val,所以也会拦截,即使使用hpp也绕不过。这里提一下,免得测试的时候出错。另外,我提另一个正则的问题。在源码中,我们可以看到所有正则都有用m修饰:ngxmatch(unescape(data),rule,"imjo")m表示multiline,匹配多行,也就是.是不匹配换行符的。所以导致我们可以直接用union%0aselect绕过默认的防御正则,不过这都是小问题了,将m改成s即可。

漏洞证明:

首先搭建好一切环境,并写一个waf.php如下:

很简单一个存在XSS漏洞的脚本,XSS测试比较方便,不用另外搭数据库什么的。先测试一下http://vps-rpi/waf.php?a=1&a=2&a=%3Cimg%20src=1%20onerror=alert(1)%3E,利用hpp来绕过WAF,造成弹窗:

再测试一下,不利用hpp直接访问http://vps-rpi/waf.php?a=%3Cimg%20src=1%20onerror=alert(1)%3E:

可见被防御了。访问了这两次以后,此时data==<img%20src=1%20onerror=alert(1)>。这个时候如果再用第一个payload,就会失败了。所以,只需要将data变成一个不会被拦截的值即可,那么就访问一下http://vps-rpi/waf.php?a=111,data就变成111了。之后,我们只要不访问/waf.php?a=<img%20src=1%20onerror=alert(1)>,那data的值就永远等于111。另外,对于m和s的问题,这里也给个截图:

这个漏洞,虽然影响不大,但思路还是挺有意思。

修复方案:

那块逻辑有问题的代码需要改一下。可以改成这样:

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-0113:48

厂商回复:

未直接确认, 同时未建立与所述涉及的软件厂商的直接处置渠道,待认领。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    这个方法也是webscan360的方法 我在骑士 phpyun cmseasy 等提出来了 居然不给我审核,哎!!!不过还是mark一下

  2. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    关注

  3. 2010-01-01 00:00 pandas 白帽子 | Rank:504 漏洞数:39)

    @menmen519 你已经被finger加入了灰名单,所有漏洞延时一周再处理。

  4. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    @pandas 哈哈 无所谓了 现在就是个路人 看到漏洞也是分享给群里的小伙伴 他们自己玩

  5. 2010-01-01 00:00 sky 白帽子 | Rank:40 漏洞数:7)

    叼。。。

  6. 2010-01-01 00:00 泳少 白帽子 | Rank:158 漏洞数:20)

    lua都被ph老师绕过了

  7. 2010-01-01 00:00 秋风 白帽子 | Rank:372 漏洞数:32)

    NB!

  8. 2010-01-01 00:00 MayIKissYou 白帽子 | Rank:168 漏洞数:25)

    = =我去github上看了下 我擦

  9. 2010-01-01 00:00 ubuntu 白帽子 | Rank:114 漏洞数:11)

    GOOD

  10. 2010-01-01 00:00 softbug 白帽子 | Rank:48 漏洞数:10)

    mark收藏

  11. 2010-01-01 00:00 从容 白帽子 | Rank:153 漏洞数:21)

    @泳少 lua只是种语言……绕过的是ngx_lua_waf模块