文章源自【字节脉搏社区】-字节脉搏实验室
作者-kong
扫描下方二维码进入社区:
0x00介绍WAF
WAF基本上可以分为一下几类。
1. 软件型WAF
以软件形式装在所保护的服务器上的WAF,由于安装在服务器上,所以可以接触到服务器上的文件,直接检测服务器上是否存在WebShell、是否有文件被创建等。
2. 硬件型WAF
以硬件形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截。
3.云WAF
一般以反向代理的形式工作,通过配置NS记录或CNAME记录,使对网址的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说使带防护的CDN。
4.网站系统内置的WAF
网站系统内置的WAF也可以说是网站系统中内置的过滤,直接镶嵌在代码中,相对来说自由度高,一般有以下几种情况。
①输入参数强制类型转换。
②输入参数合法性检测。
③关键函数执行(sql执行、页面显示、命令执行等)前,对经过代码流程的输入进行检测。
④对输入的数据进行替换过滤后再继续执行代码流程。
0x01网站是否存在WAF判断
1.使用SQLMap
使用SQLMap中自带的WAF识别模块可以识别出WAF的种类,但是如果所安装的WAF并没有什么特征,SQLMap就只能识别出类型是Generic。
命令:sqlmap.py -u “url” –identify-waf –batch
2.手工判断
一般直接在相应的网站url后面直接加上基础的sql测试语句,如union,and 1=1 等
0x02一些简单的绕过WAF方法
例如SQL注入漏洞绕过
1.大小写混合
在规则匹配时只针对特定大写或小写的情况,遇到时可以使用大小写混合绕过。
如:uNion sEleCt 1,2
2.url编码
有些waf不会对普通字符进行url解码检测,可以进行url编码。或者只解码一次的情况下我们可以进行url二次编码。
3.替换关键字
WAF采用替换或者删除select等敏感关键字的时候,如果只匹配一次则很容易进行绕过。如下命令
ununionion selselectect 1,2,3
4.使用注释
注释在截断SQL语句中用的比较多,在绕过WAF时主要使用其替代空格(/* 内容*/),适用于检测过程中没有识别注释或替换掉了注释的waf。
如命令:union/*258*/select/*asd*/1,2,3,4
或者 ?id=1 /*!and*/ 1=2 后面语句与union注入的一致
5.多参数请求拆分
对于多个参数拼接到同一条sql语句中的情况,可以将注入语句分割插入。
例如请求url时,get参数格式 a=123&b=456,可以将get的参数a和b拼接到sql语句中,如下所示
and a=123 & b=456 可以这样拼接 and a=union/*&b=*/select 1,2,3
6.生僻函数
使用生僻函数替换成见的函数。例如在报错注入中使用polygon()函数替换常用的updatexml()函数,如下所示。
select polygon((select*from(select*from()a)b));
7.寻找网站源站IP
对于有些waf防护的网站而言,可以找到真实ip地址,然后通过ip访问就可以进行绕过。
一般寻找网站ip的方法:
①寻找网站的历史解析记录。
②多地区ping网站,查看ip解析结果。
③找网站的二级域名、NS、MX记录等对应的IP。
④使网站发送邮件给你,查看发送方的IP。
通知!
公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与~
记得扫码
关注我们哦
原文始发于微信公众号(字节脉搏实验室):WAF的那点事
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论