利用 Transfer-Encoded: Chunked 绕过 WAF 实战

预览

===

找到一个部署了 WAF 的站点。先发一个报文，删除了 cookie。

=========================================

可以看到服务端返回了 403，证明请求已经到达服务端了。

接下来，在报文中增加无意义的 /etc/passwd，触发 WAF 拦截规则。

无法收到响应，请求被 WAF 拦截。

现在我们看看怎么绕过 WAF。bypassword 在 《在HTTP协议层面绕过WAF》 中提出了使用 Transfer-Encoding:chunked 来绕过 WAF 的方案，原理是将请求报文的 body 部分切分成多份来绕过 WAF 规则。我们来试试。

上一个请求需要做三点改动：

• 请求的 header 部分，增加一个 “Tranfer-Encoding: chunked” 的头域

• 请求的 body 部分切成多份，每一份都是 “Length+换行+Value+换行” 的格式

• body 部分的最后，增加 “0+空行+空行” 作为结束符

如下所示。

可以看到服务端返回了 403，证明请求已经到达服务端了，顺利通过了 WAF 的检测。

360 的 luoye``、``00theway``、``zonadu 在《利用分块传输吊打所有WAF》 中提到了一个改进方案，就是在每个 Length 和 换行 之间，插入 “分号;”开头的任意注释，进一步混淆 WAF 的处理。按照这个方法，我们可以将请求改成这样：

手工切分 http body 太麻烦了，c0ny1 写了一个 BurpSuite 插件 来实现报文的自动切分，代码在 https://github.com/c0ny1/chunked-coding-converter，推荐使用。

参考资料

• 在HTTP协议层面绕过WAF  (https://www.freebuf.com/news/193659.html)

• 利用分块传输吊打所有WAF  (https://www.freebuf.com/articles/web/194351.html)

• 编写Burp分块传输插件绕WAFv(http://gv7.me/articles/2019/chunked-coding-converter/)