WAF的那点事

以软件形式装在所保护的服务器上的WAF，由于安装在服务器上，所以可以接触到服务器上的文件，直接检测服务器上是否存在WebShell、是否有文件被创建等。

 以硬件形式部署在链路中，支持多种部署方式，当串联到链路中时可以拦截恶意流量，在旁路监听模式时只记录攻击不进行拦截。

一般以反向代理的形式工作，通过配置NS记录或CNAME记录，使对网址的请求报文优先经过WAF主机，经过WAF主机过滤后，将认为无害的请求报文再发送给实际网站服务器进行请求，可以说使带防护的CDN。

网站系统内置的WAF也可以说是网站系统中内置的过滤，直接镶嵌在代码中，相对来说自由度高，一般有以下几种情况。
①输入参数强制类型转换。
②输入参数合法性检测。
③关键函数执行（sql执行、页面显示、命令执行等）前，对经过代码流程的输入进行检测。
④对输入的数据进行替换过滤后再继续执行代码流程。

使用SQLMap中自带的WAF识别模块可以识别出WAF的种类，但是如果所安装的WAF并没有什么特征，SQLMap就只能识别出类型是Generic。
命令：sqlmap.py -u “url” –identify-waf –batch

一般直接在相应的网站url后面直接加上基础的sql测试语句，如union，and 1=1 等

0x02一些简单的绕过WAF方法

在规则匹配时只针对特定大写或小写的情况，遇到时可以使用大小写混合绕过。
如：uNion sEleCt 1，2

有些waf不会对普通字符进行url解码检测，可以进行url编码。或者只解码一次的情况下我们可以进行url二次编码。

WAF采用替换或者删除select等敏感关键字的时候，如果只匹配一次则很容易进行绕过。如下命令
ununionion selselectect 1,2,3

注释在截断SQL语句中用的比较多，在绕过WAF时主要使用其替代空格(/*  内容*/),适用于检测过程中没有识别注释或替换掉了注释的waf。
如命令：union/*258*/select/*asd*/1,2,3,4
或者 ?id=1 /*！and*/ 1=2    后面语句与union注入的一致

对于多个参数拼接到同一条sql语句中的情况，可以将注入语句分割插入。
   例如请求url时，get参数格式  a=123&b=456，可以将get的参数a和b拼接到sql语句中，如下所示
 and a=123 & b=456 可以这样拼接  and a=union/*&b=*/select 1,2,3

使用生僻函数替换成见的函数。例如在报错注入中使用polygon()函数替换常用的updatexml()函数，如下所示。
select polygon((select*from(select*from()a)b));

对于有些waf防护的网站而言，可以找到真实ip地址，然后通过ip访问就可以进行绕过。

  ①寻找网站的历史解析记录。
  ②多地区ping网站，查看ip解析结果。
  ③找网站的二级域名、NS、MX记录等对应的IP。
  ④使网站发送邮件给你，查看发送方的IP。