一、WAF阻拦SQL注入的原理
1、WAF的工作原理
WAF是Web应用程序防火墙,是一种针对Web应用程序的安全设备,常用于拦截SQL注入、跨站点脚本攻击等攻击方式。WAF的工作原理是对Web应用程序的HTTP流量进行监控,通过检测HTTP请求和响应的内容,来阻止恶意攻击。
2、WAF防护机制
WAF的防护机制一般包括了黑白名单、正则表达式过滤、SQL语句识别、请求频率限制等多种方式,其中SQL语句注入防护是WAF重点防护的方向之一。WAF的SQL注入防护主要采用的是拦截注入的关键字(如SELECT、UNION、OR、--等)和特殊字符(如'、"等)来实现对SQL注入的拦截。
二、SQLMap绕过WAF的方法
1、关闭WAF的对注入检测
关闭WAF的对注入检测,即可使WAF失去拦截SQL注入的功能。在使用SQLMap进行测试时,可以通过--tamper选项选择拦截SQL注入的WAF绕过脚本,具体用法如下所示:
sqlmap -u "http://example.com/vuln.php?id=1" --tamper=space2comment
其中,space2comment是一款可将空格转化为SQL注释符(--)的脚本,在拦截SQL注入中非常实用。
2、SQLMap自带的多种模式
SQLMap中为我们提供了多种模式,其中有几种可以针对WAF的检测进行优化:
(1) 探测模式:--technique=T
该模式可以检测WAF的注入防护是否起作用,SQLMap会发送一系列分别带注入关键字、特殊字符,以及常用SQL指令的注入测试语句,从而准确地判断出WAF的拦截效果。
sqlmap -u "http://example.com/vuln.php?id=1" --technique=T
(2) 基础版模式:--level=1
该模式可以仅对注入点进行最基本的检测,对WAF的识别能力的压力较小。
sqlmap -u "http://example.com/vuln.php?id=1" --level=1
(3) 普通模式:--level=2
该模式会对注入点进行深度扫描,使WAF加强识别注入的能力。
sqlmap -u "http://example.com/vuln.php?id=1" --level=2
(4) 极限模式:--level=5
该模式会对注入点进行多次扫描,增加WAF的防御难度,往往需要长时间的扫描等待。
sqlmap -u "http://example.com/vuln.php?id=1" --level=5
3、手动改进Payload
通过手动对Payload进行改进,使其不被WAF所识别。
(1) 把空格改成其他字符,如0x09(制表符)、0xa0(换行符)、--等;
(2) 把关键字拆分,如将SELECT拆成SEL+ECT,而后使用分别使用注释符号(/!/)来连接;
(3) 把字符串拆分,如将字符串''改为','+','等符号来连接;
(4) 将大小写掺杂,如将UNION改为Union、uNion、UnIoN等等。
4、使用Tamper脚本来绕过WAF
Tamper脚本是一种预定义的脚本,可用于修改SQL语句,以模糊WAF的SQL注入检测。在tamper仓库中,有许多能够绕过WAF的脚本,例如:apostrophemask.py、between.py、chardoubleencode.py等。
sqlmap -u "http://example.com/vuln.php?id=1" --tamper=apostrophemask.py
三、综合使用
在实际的测试中,可能存在多个不同的WAF,其检测能力也不尽相同。因此,综合使用上述方法,才能对不同的WAF进行充分的绕过测试。
例如,对于WAF的正确识别和绕过,可以按照如下步骤进行:
(1) 执行--technique=T进行模式检测,确认WAF的安全等级和拦截方式;
(2) 执行--level=2对注入点进行深度扫描,利用SQLMap自带的绕过技巧;
(3) 执行--tamper选项,使用预定义的Tamper脚本进行绕过WAF的检测。
sqlmap -u "http://example.com/vuln.php?id=1" --technique=T --level=2 --tamper=space2comment
四、总结
绕过WAF不仅仅是一个技术问题,同时也是一项安全问题。我们在应对现实工作中的SQL注入测试时,应该综合考虑各种情况,采取多种方法进行测试,获得尽可能准确的结果。此外,我们还应常学习新的SQL注入绕过技术,并保持对WAF的最新了解。