プロキシ/WAF保護のバイパス

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
公式のPEASS＆HackTricksグッズを手に入れましょう。
💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。

Nginx ACLルールのバイパス

Nginxの制限の例：

location = /admin {
deny all;
}

location = /admin/ {
deny all;
}

Nginxはパス名の一部として文字 \xa0 を含んでいるため、/admin URIのACLルールはトリガーされません。その結果、NginxはHTTPメッセージをバックエンドに転送します。
Node.jsサーバーが/admin\x0a URIを受信すると、文字 \xa0 が削除され、/admin エンドポイントの正常な取得が可能になります。

FlaskはURLパスから文字 \x85, \xA0, \x1F, \x1E, \x1D, \x1C, \x0C, \x0B, \x09 を削除しますが、NGINXは削除しません。

以下に、ACL保護を回避するためにパス名の末尾に文字 \x09 またはを追加するデモンストレーションがあります。

次のNginx FPMの設定を考えてみましょう：

location = /admin.php {
deny all;
}

location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php8.1-fpm.sock;
}

/admin.php/index.phpにアクセスすることで、それをバイパスすることが可能です。

これらの問題を防ぐために、Nginx ACLルールでは=の代わりに~式を使用する必要があります。例えば、以下のようになります：

COPYCOPY

location ~* ^/admin {
deny all;
}

以下の構文を使用することで、HTTPヘッダーのAWS WAF保護をバイパスすることが可能です。AWS WAFはX-QueryヘッダーがSQLインジェクションペイロードを含んでいることを理解しませんが、背後のノードサーバーは理解します。

GET / HTTP/1.1\r\n
Host: target.com\r\n
X-Query: Value\r\n
\t' or '1'='1' -- \r\n
Connection: close\r\n
\r\n

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
公式のPEASS＆HackTricksのグッズを手に入れましょう。
💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。