免责声明:

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关。

本免责声明旨在明确指出，本文仅为技术交流、学习和研究之用，不得将文章中的技术用于任何非法目的或破坏行为。发表本文章的作者对于任何非法使用技术或对他人或系统造成的损害概不负责。

阅读和参考本文章时，您必须明确并承诺，不会利用文章中提供的技术来实施非法活动、侵犯他人的权益或对系统进行攻击。任何使用本文中的技术所导致的任何意外、损失或损害，包括但不限于数据损失、财产损失、法律责任等问题，都与发表本文章的作者无关。

本文提供的技术信息仅供学习和参考之用，不构成任何形式的担保或保证。发表本文章的作者不对技术的准确性、有效性或适用性做任何声明或保证。

起因是笔者最近重新部署起了全自动化扫描器，某天捡垃圾的时候发现一个log4j的dnslog，但复现不了log4j，抱着试一试的态度提交一下，看看审核回复是啥情况：

遂寻思，现在的云WAF这么牛了吗，诧异的同时打算仔细看看，首先抄起Xray开梭哈：

？？？

然后

我超，逆天

仔细看了下数据包回包，居然还是有模有样的，如SQL注入：

如命令执行：

于是开始手工测试（笔者一开始以为是蜜罐，蜜罐插件毫无动静，指纹也识别不动），看看是不是类似于正则匹配入参的方式给出输出的。

用服务器测的结果：

注：

预期的情况指的是站在防御者角度，攻击方的自动化扫描器会返回的值，就是说会返回海量无价值的漏洞信息给攻击者，各种意义上的嘲讽。

非预期指的是部分高级攻击者使用的自研扫描器，不采用主流的匹配方式识别判断漏洞，对他们而言这可能会产生一小部分的误报，实际并无影响。

1）命令执行

预期的响应包：

修改命令后的：

这一次，没有回复，说明大概率是单一的正则匹配规则

2）SQL注入

预期的返回：

修改关键字后的返回：

包括修改extractvalue和md5两个函数，任意修改一个都不会返回预期的值，说明后端的规则大概率是取并集，然后造一个输出，造一个虚假漏洞出来。

3）DNS反连

预期的情况

这几个IP，推测是采用DGA域名匹配算法，从云防护上筛选dnslog地址，再用特定的蜜罐IP访问，造成大量无意义的回连。