您的位置:

用SQLMap绕过WAF的方法详解

一、WAF阻拦SQL注入的原理

1、WAF的工作原理

WAF是Web应用程序防火墙,是一种针对Web应用程序的安全设备,常用于拦截SQL注入、跨站点脚本攻击等攻击方式。WAF的工作原理是对Web应用程序的HTTP流量进行监控,通过检测HTTP请求和响应的内容,来阻止恶意攻击。

2、WAF防护机制

WAF的防护机制一般包括了黑白名单、正则表达式过滤、SQL语句识别、请求频率限制等多种方式,其中SQL语句注入防护是WAF重点防护的方向之一。WAF的SQL注入防护主要采用的是拦截注入的关键字(如SELECT、UNION、OR、--等)和特殊字符(如'、"等)来实现对SQL注入的拦截。

二、SQLMap绕过WAF的方法

1、关闭WAF的对注入检测

关闭WAF的对注入检测,即可使WAF失去拦截SQL注入的功能。在使用SQLMap进行测试时,可以通过--tamper选项选择拦截SQL注入的WAF绕过脚本,具体用法如下所示:

sqlmap -u "http://example.com/vuln.php?id=1" --tamper=space2comment

其中,space2comment是一款可将空格转化为SQL注释符(--)的脚本,在拦截SQL注入中非常实用。

2、SQLMap自带的多种模式

SQLMap中为我们提供了多种模式,其中有几种可以针对WAF的检测进行优化:

(1) 探测模式:--technique=T

该模式可以检测WAF的注入防护是否起作用,SQLMap会发送一系列分别带注入关键字、特殊字符,以及常用SQL指令的注入测试语句,从而准确地判断出WAF的拦截效果。

sqlmap -u "http://example.com/vuln.php?id=1" --technique=T

(2) 基础版模式:--level=1

该模式可以仅对注入点进行最基本的检测,对WAF的识别能力的压力较小。

sqlmap -u "http://example.com/vuln.php?id=1" --level=1

(3) 普通模式:--level=2

该模式会对注入点进行深度扫描,使WAF加强识别注入的能力。

sqlmap -u "http://example.com/vuln.php?id=1" --level=2

(4) 极限模式:--level=5

该模式会对注入点进行多次扫描,增加WAF的防御难度,往往需要长时间的扫描等待。

sqlmap -u "http://example.com/vuln.php?id=1" --level=5

3、手动改进Payload

通过手动对Payload进行改进,使其不被WAF所识别。

(1) 把空格改成其他字符,如0x09(制表符)、0xa0(换行符)、--等;

(2) 把关键字拆分,如将SELECT拆成SEL+ECT,而后使用分别使用注释符号(/!/)来连接;

(3) 把字符串拆分,如将字符串''改为','+','等符号来连接;

(4) 将大小写掺杂,如将UNION改为Union、uNion、UnIoN等等。

4、使用Tamper脚本来绕过WAF

Tamper脚本是一种预定义的脚本,可用于修改SQL语句,以模糊WAF的SQL注入检测。在tamper仓库中,有许多能够绕过WAF的脚本,例如:apostrophemask.py、between.py、chardoubleencode.py等。

sqlmap -u "http://example.com/vuln.php?id=1" --tamper=apostrophemask.py

三、综合使用

在实际的测试中,可能存在多个不同的WAF,其检测能力也不尽相同。因此,综合使用上述方法,才能对不同的WAF进行充分的绕过测试。

例如,对于WAF的正确识别和绕过,可以按照如下步骤进行:

(1) 执行--technique=T进行模式检测,确认WAF的安全等级和拦截方式;

(2) 执行--level=2对注入点进行深度扫描,利用SQLMap自带的绕过技巧;

(3) 执行--tamper选项,使用预定义的Tamper脚本进行绕过WAF的检测。

sqlmap -u "http://example.com/vuln.php?id=1" --technique=T --level=2 --tamper=space2comment

四、总结

绕过WAF不仅仅是一个技术问题,同时也是一项安全问题。我们在应对现实工作中的SQL注入测试时,应该综合考虑各种情况,采取多种方法进行测试,获得尽可能准确的结果。此外,我们还应常学习新的SQL注入绕过技术,并保持对WAF的最新了解。