第五招.非法Unicode编码
UTF-8编码允许字符集包含多余256个字符,因此也就允许编码位数多于8位。“/”字符的十六进制的ASCII码是2F,用二进制数表示就是00101111。UTF-8格式中表示2F的标准方法仍然是2F,但是也可以使用多字节UTF-8来表示2F。字符“/”可以像下表中所示使用单字节、双字节、三字节的UTF-8编码来表示:
“/”字符表示方式 二进制 十六进制
单字节 0xxxxxxx 00101111 2F
双字节 110xxxxx 10xxxxxx 11000000 10101111 C0 AF
三字节 1110xxxx 10xxxxxx 10xxxxxx 11100000 10000000 10101111 E0 80 AF
按照此方法,我们可以对整个字符串都进行相应的编码。虽然编码后的URL的最终指向的资源都相同,但它们的表达方式不同, IDS的规则集文件中就可能不存在此过滤字符串,从而就实现了突破IDS的目的。
第六招: 多余编码法
多余编码又称双解码。还记的2000-2001年IIS的Unicode解码漏洞和双解码漏洞闹得沸沸扬扬,那时有许多朋友稀里糊涂的以为Unicode解码漏洞就是双解码漏洞,其实它们两者是两回事,前者的原理笔者已在上述的“非法Unicode编码”中有所描述。而多余编码就是指对字符进行多次编码。比如“/”字符可以用%2f表示,“%2f”中的“%”、“2”、“f”字符又都可以分别用它的ASCII码的十六进制来表示,根据数学上的排列组合的知识可知,其编码的形式有2的3次方,于是“%2f”可以改写为:“%25%32%66”、“%252f”等等来实现URL的多态,编码后的字符串可能没被收集在IDS的规则集文件中,从而可以骗过有些IDS。
第七招.加入虚假路径
在URL中加入“../”字符串后,在该字符串后的目录就没有了意义,作废了。因此利用“../”字符串可以达到扰乱了识别标志分析引擎、突破IDS的效果!
第八招:插入多斜线
我们可以使用多个 “/”来代替单个的“/”。替代后的URL仍然能像原先一样工作。比如对/msadc/msadcs.dll的请求可以改为////msadc////msadcs.dll,经笔者曾经实验,这种方法可以绕过某些IDS。
第九招:综合多态编码
聪明的你一看这个小标题就知道了,所谓综合,就是把以上介绍的几种多态变形编码技术结合起来使用,这样的话效果会更好。
后记:当我刚才提到“00 ASCII码”以及非标准路径分隔符“\”时,大家可能会倍感熟悉,因为这与前段时间流行的动网上传漏洞以及暴库大法有着密切联系。黑客是门艺术,黑客讲究的是灵感是思路,我们通过深入思考,旧的知识也可以创造出新的技术!
