问题: WAF Bypass 是什么?
答案: WAF Bypass 是一个黑客攻击技术,用于在 Web 应用防火墙(WAF)的保护下仍然实现对 Web 应用的攻击。WAF 主要用于防御 SQL 注入、XSS 跨站脚本攻击等安全问题。Bypass 技术可以使黑客绕过 WAF 安全机制,实现对 Web 应用的漏洞攻击。
从回包的状态码403和Server值可以判断是被Waf拦截了。...那么这时如果我们想要绕Waf的话,就要去思考它对应的正则匹配的规则可能存在的情况了: 1.匹配script 2.匹配alert 3.匹配<.*?...那就再简单猜测一下对应的Waf规则吧: 1.匹配onerror= 2.匹配alert(.*?) 3.匹配on.*?=alert(.*?) 4.匹配on.*?=.*?alert(.*?)...也无需测试都会被Waf拦截。...所以要么换函数,要么强行绕alert函数(我喜欢硬刚,就冲alert了!) 我发现貌似这样判断alert是否被过滤不太严谨,应该重新判断一次: 故试了试如下Payload: 意外发现竟然没有拦截?
这时,报文中的实体需要改为用一系列分块来传输。 每个分块包含十六进制的长度值和数据,长度值独占一行,长度不包括它结尾的CRLF(\r\n),也不包括分块数据结尾的CRLF。...一般情况下数据经过WAF设备的时候只会做一次url解码,这样解码之后的数据一般不会匹配到规则,达到了bypass的效果。...select,但是对于WAF层,可能接收到的内容还是s%u006c%u0006ect,这样就会形成bypass的可能。...在ASP/ASPX+IIS的环境中存在一个特性,就是特殊符号%,在该环境下当们我输入s%elect的时候,在WAF层可能解析出来的结果就是s%elect,但是在iis+asp的环境的时候,解析出来的结果为...但姿势利用太过于局限:使用Request.Params["id"]来获取参数,G-P-C获取到参数拼接起来,仅仅作为Bypass分享一种思路而已。
超大数据包绕过 绕过原理 资源限制:WAF长度资源限制 假如HTTP请求POST BODY太大,检测所有内容,WAF集群消耗太多的CPU、内存资源。因此许多WAF只检测前面的2M或4M的内容。...对于攻击者而言,只需要在POST BODY前面添加许多无用的数据,把攻击的payload放在最后即可绕过WAF检测。...user,password) from users%23 image-20211015235313081 函数分隔符绕过 绕过原理 规则缺陷/特性:函数与括号之间插入分隔符可以正常执行 对基于正则表达式的WAF...其中 multipart/form-data 表示该数据被编码为一条消息,页上的每个控件对应消息中的一个部分。所以,当 waf 没有规则匹配该协议传输的数据时可被绕过。...[User]/**/where id=1 那么意味着在注释符中可以添加大量的无效字符来打破WAF的规则匹配。
那原本是一个Happy的夜晚,我搞了二两小白酒,听到领导发来的消息,还TM喝酒,加班了! 接到测试网站,利用crawlergo+XRAY扫到了一个xss,这是入口点。打开网页长这个样子。...于是猜想,是不是onerror这个事件太常用了,所以作为关键词的一部分被拦截了,因此我开始fuzz事件 这里贴出所有的事件,来自菜鸟教程。...最后我选择了onwhell,滚动的时候触发,但是紧跟着alert依旧不行 ? 于是,我认为是alert(1)这个函数太过敏感,我们可以用一些别的方法来进行混淆。...最后,幸运之神还是眷顾了我,让我找到了没有被waf住的包 例如: javascript:alert(document.cookie) 在javascript接着的语句中...,进行编码后依旧可以进行识别 或者利用toString的编码转换,来进行bypass 例如 ?
:web应用防火墙(Web Application Firewall),通过执行一系列针对HTTP/HTTPS的安全策略来防御对web应用的攻击。...通过下图我们可以大概了解: 绕WAF的理解 在我自己看来,所谓的BYPASS WAF实际上是去寻找位于WAF设备之后处理应用层数据包的硬件/软件的特性。...当我们的程序满足了这一个个的场景,倘若WAF没有考虑到这些场景,我们就可以利用这些特性bypass掉WAF了。...Bypass WAF 姿势 基于IP封锁 在现实的测试过程中会遇到许多在进行几次操作后被封IP的情况。...实战常遇技巧 当你发现这些姿势都不好使的时候,你就该去发现一些新的特性了,毕竟设计WAF的选手都是基于目前的认知下去设计的,当新的特性出现的时候,势必又是一波bypass。
waf 这款waf更新的很快,年前有个bypass注入的视频,提到waf对cookie检查不严,过段时间waf就更新。...我写这种本地测试bypass文章时,总有感觉就是自嗨,这对实战有没有意义,我还记得搞xss绕过,是因为我在x某个WebShell箱子时,D盾拦截了,我就开始研究了一波绕过。...因为各种waf的之间或多或少的规则特性上差异,例如下图长亭的XSSChop检测为无风险,这个测试语句虽然不会弹框,但是你换其他waf的话,可能瞬间爆炸。...绕过 绕过的话,我手头已经有一些测试好可以bypass的,这些都要靠自己fuzz结合自己手工测出来的。...接下来就是对[SAVE_PAYLOAD]进行fuzz,我这里自己直接给出个bypass的payload 大概就是把xss payload分成几块,逐部分的去fuzz。
Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过。WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招。那今天我在这里做个小小的扫盲吧。...先来说说WAF bypass是啥。 WAF呢,简单说,它是一个Web应用程序防火墙,其功能呢是用于过滤某些恶意请求与某些关键字。WAF仅仅是一个工具,帮助你防护网站来的。...g,就比如上面说的,很多时候我都是采用内联注释。...语句,我在最近的一个网站绕过上用到了。...结语:WAF的姿势取决于你思维的扩散,自我感觉在WAF bypass的过程中能找到很多乐趣,不是吗?更多姿势欢迎pm我。
文章来源|MS08067 Web漏洞挖掘班 第3期 本文作者:Hi2x(Web漏洞挖掘班讲师) 0x00 前言 在了解Bypass Waf之前,我们应该首先了解一些前置知识: 1.Waf是什么 2.Waf...的类型 3.Waf的工作原理 1....3.Waf的工作原理 不论是什么类型的Waf,工作的方式几乎差不多。...: 0x01 绕Waf实战 了解完Waf是怎么拦截对应的流量之后,我们就明白了绕Waf的最终目标是绕过特征库检测(即绕过正则匹配)。...如何进行手工探测Waf的过滤规则请看下一篇推文 浅谈Bypass Waf - 下(实战篇)
0x02 WAF测试 护卫神SQL防注入的规则几年了基本都没有什么变化,先来一张拦截测试图: ?...脚本,当A的个数填充到49099时,可成功Bypass。...的思路,在实战中也很常见。...听说公众号赞赏功能升级了,我也来试试。...喜欢这篇文章的人也喜欢 · · · · · · ▶ Bypass 360主机卫士SQL注入防御(多姿势) ▶ Bypass ngx_lua_waf SQL注入防御(多姿势) Bypass About
Approach, WTS WAF) (5)一些WAF在响应内容body中公开自身(例如DotDefender,Armor,Sitelock) (6)其他WAF会对恶意请求做出不寻常的响应代码答复(例如...WebKnight,360WAF) (7)有些WAF会返回一堆垃圾数据,卡死你(例如:百度云加速乐) 检测WAF (1)从浏览器发出普通的GET请求,拦截并记录响应头(特别是cookie)。...(3)向随机开放的端口发出GET请求,并抓住可能暴露WAF身份的标语。...id=;netstat%u0000-ant 实战 案例1 字符编码绕waf POST /sample.aspx?...(分块绕waf) 分块编码bypass 如 未bypass POST /sample.aspx?
对于只看宏观文章,没有实战的演练,无疑是很好的案例。 三、具体实现 本次测试是以如下站点为例:http://www.ecgi.org/wp/wp_id.php?...50000SeLeCt/ 1,2 — - (温馨提示,有些waf可能会在攻击者较多测试过程中会封锁IP,建议使用代理不断更新自己的IP地址)。这里报错,说明已经bypass了。 ?...id=213’ UnIoN%A0SeLeCT 1,2 — - 这里会报错,说明可以bypass。 但是在联合查询的时候,查询填充的列分割较多时,就会别waf拦截。...然后在构造完整的查询。Information_schema.Tables。如图所示:oh shit….依然被waf拦截。 ? 接着分析绕过吧,通过手工测试,waf过滤的是小数点(.)。...本人也在学习和搜集关于oracle的一些绕过waf技巧,有感兴趣的可以互相学习,探讨。
在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层等,以便我们更灵活地去构造Payload,从而可以和各种WAF进行对抗,甚至绕过安全防御措施进行漏洞利用。...0x01 服务器特性 1、%特性(ASP+IIS) 在asp+iis的环境中存在一个特性,就是特殊符号%,在该环境下当们我输入s%elect的时候,在WAF层可能解析出来的结果就是s%elect,但是在...IIS接收到之后会被转换为select,但是对于WAF层,可能接收到的内容还是s%u006c%u0006ect,这样就会形成bypass的可能。...参考以前的相关文章链接: WAF Bypass数据库特性(Mysql探索篇) WAF Bypass数据库特性(MSsql探索篇) WAF Bypass数据库特性(Oracle探索篇) WAF Bypass...猜想3:多次重复提交同一个请求,有些通过了WAF,有些被WAF所拦截了,性能问题可能导致部分请求bypass。
三:Bypass免杀 3.1 base64加密shellcode加载 参考Tide安全团队的免杀系列,使用base64生成: msfvenom -p windows/meterpreter/reverse_http...哇,国外的av和国内的av就是不一样,拦截规则卡的是真的死死的。...3.4 DNStager分离免杀 参考文章《实战填坑|CS使用CDN隐藏C2》:https://mp.weixin.qq.com/s/B30Unfh5yAN4A151P1gsMQ 去申请了域名,部署了cdn...4.2 横向尝试 既然本机无其余用户信息,避免动静过大,就不再尝试提权至system了(主要杀软太牛逼),直接上传frp横向信息收集丫的: ? 我滴天?竟然上传失败?...是一致的没错,实战环境上传txt: ? 解码: ? 合并后,执行: ? 我要抓狂了,竟然还是不能执行程序,太失败了。
比上述要长很多,为了避免占用文章太多篇幅,我就不贴出来完整的了) 结果还是被waf拦截了。...接下来经过一系列测试与判断,发现waf设备对超大数据包会放行,如下图所示,waf设备不拦截。 但是这样直接在反序列化的字节数据前添加脏数据,是肯定不行的,因为无法触发反序列化攻击代码。...最终我本地搭建了一个coldfusion环境,经过一系列测试,我发现问题出在ysoserial的Gadgets类的执行命令过程中。...实战中会出现各种莫名其妙的问题,后来拿到shell之后,发现是负载均衡的问题。。。 第8个坑,负载均衡 写入webshell之后,发现shell访问不到了,难道被删除了?...引用“回忆飘如雪”的文章: https://gv7.me/articles/2021/java-deserialize-data-bypass-waf-by-adding-a-lot-of-dirty-data
WAF。...除了实战中需要绕过WAF,在很多CTF中也需要绕过各种过滤。...所以到最后SQL注入漏洞的利用关键就成了Bypass防御,而Bypass防御方法是在持续攻防对抗中研究出来,可以说SQL注入Bypass是一门艺术。...02 — SQL注入Bypass技巧 注入点识别 SQL注入的第一步就是失识别注入点,一般都是在参数后面简单的and 1=1和and 1=2等来判断是否有注入点或者是否有WAF拦截,如果简单的and...其他技巧 因为ByPass技巧方法是需要在持续的攻防对抗中进行总结,验证,积累的,所以没有一种万能的ByPass方法,我们在遇到具体的场景中,跟进实际情况将上面的内容灵活应用,将多种方法结合,比如: 过滤逗号了可以使用
那天心血来潮直接访问了一下主站,没想到burp一上来就开始飙绿\~~~~添加描述我的burp安装了HaE插件,自定义了一些容易出洞的关键字。...我这个案例没这么幸运,没绕过,只能开启 F12 硬刚。开启 F12 ,vue的前端添加描述全局搜索关键字 Sign,找到一处可疑点添加描述打上断点,成功命中!...添加描述原理知道了,接下来就是 “一点点的工作”。方案一 我的目的是:burp-repeater 模块重放数据包,因为我要修改里面的参数,所以每次修改完之后,必须要重新计算sign值。...使用 burp-autodecoder插件,把repeater里面的数据包发给我的 python程序,python程序提取一下我所需要的 timestamp 和 post请求体(或者url的传参),然后把数据发给...waf,试试注释符号绕过添加描述完美!!!!!
今天就聊聊关于上传绕过WAF的姿势,WAF(Web Application Firewall)简单的来说就是执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。...一、Bypass Waf 1.一般开发人员防御策略 客户端javascript校验(一般只校验后缀名)服务端校验1>文件头content-type字段校验(image/gif)2>文件内容头校验(GIF89a...)3>后缀名黑名单校验4>后缀名白名单校验5>自定义正则校验6>WAF设备校验(根据不同的WAF产品而定) 2.Bypass 2.1 有些waf不会防asp/php/jsp后缀的文件,但是他会检测里面的内容...2.2 WTS-WAF Bypass Content-Disposition: form-data; name=“up_picture”; filename=“xss.php” 2.3 Baidu cloud...三、Summary 研究WAF的绕过手段,是为了更好的提升WAF的防御能力。
5,扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针 6,google hack 进一步探测网站的信息,后台,敏感文件 备注:根据悬镜安全团队多年的渗透测试实战经验得出:安全团队再进行渗透测试的时候...,收集完相关的信息后,通过自动化的漏扫工具,进行进一步的问题发掘,然后通过扫描出来的漏洞以及自身的实战项目经验再进行深层次的漏洞挖掘,这也是为什么渗透测试比漏扫工具发现问题的深度和攻击面会更广。...08.绕过walf 1、关键字可以用%(只限IIS系列)。 比如select,可以sel%e%ct。...原理:网络层waf对SEL%E%CT进行url解码后变成SEL%E%CT,匹配select失败,而进入asp.dll对SEL%E%CT进行url解码却变成select。...这个方法对waf很有效果,因为一般waf会解码,但是我们利用这个特点,进行两次编码,他解了第一次但不会解第二次,就bypass了。腾讯waf、百度waf等等都可以这样bypass的。
那天心血来潮直接访问了一下主站,没想到burp一上来就开始飙绿\~~~~ 我的burp安装了HaE插件,自定义了一些容易出洞的关键字。发现这个主站,出现了很多排序的关键字,而且还没做映射(挺随意的)。...我这个案例没这么幸运,没绕过,只能开启 F12 硬刚。 开启 F12 ,vue的前端 全局搜索关键字 Sign,找到一处可疑点 打上断点,成功命中!...原理知道了,接下来就是 “一点点的工作”。 方案一 我的目的是:burp-repeater 模块重放数据包,因为我要修改里面的参数,所以每次修改完之后,必须要重新计算sign值。...使用 burp-autodecoder插件,把repeater里面的数据包发给我的 python程序,python程序提取一下我所需要的 timestamp 和 post请求体(或者url的传参),然后把数据发给...sql注入阶段 看看if能不能用 看看 iif 能不能用 看看case when能不能用 还发现有个waf 都不能用,使用大招 rlike 报错 可行可行,构建条件语句 又是waf,试试注释符号绕过
0X00前言 最近参加重保,和同事闲聊时间,谈起来了外网,彼时信心满满,好歹我也是学了几年,会不少的。结果,扭头看完do9gy师傅的《腾讯 WAF 挑战赛回忆录》,就啪啪打脸了。...Boundary+逗号绕过 小提示:Bypass WAF 的核心思想在于,一些 WAF 产品处于降低误报考虑,对用户上传文件的内容不做匹配,直接放行。...如果不能,那我们是否就可以想办法让 WAF 以为我们是在上传文件,而实际上却是在 POST一个参数,这个参数可以是命令注入、SQL 注入、SSRF 等任意的一种攻击,这样就实现了通用 WAF Bypass...下面直接看漏洞银行大佬在视频中的实战利用演示。...经过这几天的资料查找,我发现这些东西在CTF领域的研究,以及达到了登峰造极的地步。
领取专属 10元无门槛券
手把手带您无忧上云