目录
-
WAF是有一个白名单的,在白名单内的客户请求将不做检测
白名单绕过
伪造搜索引擎
-
做搜索引擎的都是牛逼的爬虫
- 搜索常见搜索引擎的useragent
- 修改这个useragent 可以绕过白名单批量 更换useragent。
- 但是这种方式已经不用这种方式了
伪造白名单的特殊目录
-
这个属于waf管理员配置规则不当导致的
- 360webscan脚本存在这个问题
- 就是判断是否为admin dede install等目录
- 如果是则不做拦截,也就是白名单设置的有问题
- 发现是 /admin/* 开头的路径请求就直接放行了
-
每个网站有很多路径 也就是网站文件存放目录。
-
以防waf把后台目录路径被屏蔽掉了
-
我们可以在waf配置上去除特殊路径字符
-
比如说admin
-
-
这种绕过方式属于waf管理员配置规则不当导致的
- 比如:
www.spisec.com/pen/news.php?id=1 union select user,password from mysql.user
- 可以改为:
www.spisec.com/pen/news.php/admin?id=1 union select user, password from mysql.user
- 或者
www.spisec.com/pen/admin/..\news.php?id=1 union select user, password from
mysql.user
- 其实仔细观察这句话的话admin/..\,这就是为了绕过而生的,看上去是一句废话,因为..\我们知道是访问上一层。
直接攻击源站-真实ip地址【云waf】
-
云waf 也就是dns解析 在云waf进行处理
找到真实ip地址就不会走云waf
-
云waf探测
- 判断是硬件waf 还是云waf
- 社工手段找到真实ip就可以绕过DNS的云waf
编码绕过
- 对我们的poc或者说是pyload 进行编码绕过
- url编码绕过效果一般。
- base64编码绕过 这个需要配合前端js加解密的方式进行绕过 服务端好解析。 js极限这里需要注意
请求方法或者请求位置绕过
这个方式也就是cookie和post参数没有做检验导致的 导致的waf绕过。
URL位置修改到 - 请求头的位置useragent
如果服务端和waf没对应好,那么取出来和数据库打交道那么就会存在问题。
把我们的攻击载荷换了请求位置
或者说更换请求方法 get或者post
-
或者换成cookie的攻击代码 其实就是请求方式注入编码一种注入方式的切换
复参数绕过【数据包解析绕过 】
数据包能解析就能拿出数据进行判断 发现什么攻击语句 触发规则库。
这个和后台代码逻辑是有关系得 如果是取出所有得name得值
很多WAF都可以这样绕,测试最新版WAF能绕过部分语句。
一个请求是这样的
GET /pen/news.php?id=1 union select user,password from mysql.user
-----------------------------------------------------------------------
可以修改为
GET pen/news.php?id=1&id=union&id=select&id=user,password&id=from%20mysql.user
喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。