hacktricks/pentesting-web/proxy-waf-protections-bypass.md

# Proxy / WAF Protections Bypass

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue**me en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Bypass de Reglas ACL de Nginx <a href="#heading-bypassing-nginx-acl-rules-with-nodejs" id="heading-bypassing-nginx-acl-rules-with-nodejs"></a>

Ejemplo de restricción en Nginx:
```plaintext
location = /admin {
deny all;
}

location = /admin/ {
deny all;
}
```
### NodeJS

<figure><img src="../.gitbook/assets/image (713).png" alt=""><figcaption></figcaption></figure>

* Como Nginx incluye el carácter `\xa0` como parte del nombre de ruta, la regla ACL para el URI `/admin` no se activará. En consecuencia, Nginx reenviará el mensaje HTTP al backend;
* Cuando el servidor Node.js recibe el URI `/admin\x0a`, el carácter `\xa0` se eliminará, permitiendo la recuperación exitosa del endpoint `/admin`.

| Versión de Nginx | **Caracteres de Bypass de Node.js** |
| ---------------- | ----------------------------------- |
| 1.22.0           | `\xA0`                              |
| 1.21.6           | `\xA0`                              |
| 1.20.2           | `\xA0`, `\x09`, `\x0C`              |
| 1.18.0           | `\xA0`, `\x09`, `\x0C`              |
| 1.16.1           | `\xA0`, `\x09`, `\x0C`              |

### Flask

Flask elimina los caracteres `\x85`, `\xA0`, `\x1F`, `\x1E`, `\x1D`, `\x1C`, `\x0C`, `\x0B` y `\x09` del camino de la URL, pero NGINX no.

<figure><img src="../.gitbook/assets/image (714).png" alt=""><figcaption></figcaption></figure>

| Versión de Nginx | **Caracteres de Bypass de Flask**                               |
| ---------------- | --------------------------------------------------------------- |
| 1.22.0           | `\x85`, `\xA0`                                                  |
| 1.21.6           | `\x85`, `\xA0`                                                  |
| 1.20.2           | `\x85`, `\xA0`, `\x1F`, `\x1E`, `\x1D`, `\x1C`, `\x0C`, `\x0B`  |
| 1.18.0           | `\x85`, `\xA0`, `\x1F`, `\x1E`, `\x1D`, `\x1C`, `\x0C`, `\x0B`  |
| 1.16.1           | `\x85`, `\xA0`, `\x1F`, `\x1E`, `\x1D`, `\x1C`, `\x0C`, `\x0B`  |

### Spring Boot <a href="#heading-bypassing-nginx-acl-rules-with-spring-boot" id="heading-bypassing-nginx-acl-rules-with-spring-boot"></a>

A continuación, encontrarás una demostración de cómo se puede eludir la protección ACL agregando el carácter `\x09` o al final del nombre de ruta:

<figure><img src="../.gitbook/assets/image (715).png" alt=""><figcaption></figcaption></figure>

| Versión de Nginx | **Caracteres de Bypass de Spring Boot** |
| ---------------- | --------------------------------------- |
| 1.22.0           | `;`                                     |
| 1.21.6           | `;`                                     |
| 1.20.2           | `\x09`, `;`                             |
| 1.18.0           | `\x09`, `;`                             |
| 1.16.1           | `\x09`, `;`                             |

### PHP-FPM <a href="#heading-bypassing-nginx-acl-rules-with-php-fpm-integration" id="heading-bypassing-nginx-acl-rules-with-php-fpm-integration"></a>

Consideremos la siguiente configuración de Nginx FPM:
```plaintext
location = /admin.php {
deny all;
}

location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php8.1-fpm.sock;
}
```
Es posible eludirlo accediendo a `/admin.php/index.php`:

<figure><img src="../.gitbook/assets/image (716).png" alt=""><figcaption></figcaption></figure>

### Cómo prevenir <a href="#heading-how-to-prevent" id="heading-how-to-prevent"></a>

Para prevenir estos problemas, debes usar la expresión `~` en lugar de la expresión `=` en las reglas ACL de Nginx, por ejemplo:

COPYCOPY
```plaintext
location ~* ^/admin {
deny all;
}
```
## Eludir AWS WAF ACL con Line Folding <a href="#heading-bypassing-aws-waf-acl-with-line-folding" id="heading-bypassing-aws-waf-acl-with-line-folding"></a>

Es posible eludir la protección de AWS WAF en un encabezado HTTP utilizando la siguiente sintaxis donde AWS WAF no entenderá que el encabezado X-Query contiene una carga útil de inyección SQL mientras que el servidor node detrás sí lo hará:
```http
GET / HTTP/1.1\r\n
Host: target.com\r\n
X-Query: Value\r\n
\t' or '1'='1' -- \r\n
Connection: close\r\n
\r\n
```
## Referencias

* [https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies](https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies)

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>