這篇文章搜集整理自@Junehck師傅的Github，記錄了他在實戰(zhàn)中遇到的各種WAF攔截SQL注入的場景和繞過姿勢，文章并不是完整的，僅記錄了Bypass部分。

https://github.com/Junehck/SQL-injection-bypass

0x01 %00繞過WAF

輸入一個單引號

頁面報錯

首先閉合，這里用')閉合

order by x 被攔截，用--%0a代替空格即可

直接上union select會一直卡著，沒有任何返回

把空格都改為--%0a，成功響應(yīng)，在 select 跟 1,2,3... 之間用兩個 --%0a 會無響應(yīng)

在 1 后面加上 %00 并 url 編碼，原理是 waf 把空字節(jié)認(rèn)為是結(jié)束導(dǎo)致了后面的語句可以繞過

發(fā)現(xiàn)參數(shù)為 base64 編碼

133 and updatexml(1,concat(0x1,user()),1)

先 order by 獲取列數(shù)

嘗試使用聯(lián)合注入時就會被攔截，無限等待響應(yīng)

這里我們使用emoji方式去代替空格來繞過 waf，成功注入出回顯

在后面加上 order by 1 被安全狗攔截

WAF 會避免消耗大量內(nèi)存去匹配危險函數(shù)，故會直接忽略"有效注釋"中的內(nèi)容，而攻擊者可以構(gòu)造不存在的參數(shù)來實現(xiàn)"偽注釋"，這里我們構(gòu)造

那么這里就無任何攔截了，可直接交給 sqlmap

頁面搜索功能嘗試輸入單引號，頁面 500 報錯并輸出了報錯信息

這里竟然有報錯我們就想著使用報錯注入，但是含有類似于updatexml這種關(guān)鍵字直接攔截

因為 get 繞過姿勢較少，我們嘗試把數(shù)據(jù)通過 post 發(fā)送，發(fā)現(xiàn)后端也接收，那么這里使用臟數(shù)據(jù)來繞過

單引號頁面報錯

這里我們打算使用 updatexml 來進(jìn)行報錯輸出，在 url 后面添加 and 發(fā)現(xiàn)并沒有攔截，但是如果在 and 后面空格然后跟 updatexml 直接被攔截

這里我們的繞過方法是用運(yùn)算符，and (+-/^)發(fā)現(xiàn)并沒有被攔截

updatexml參數(shù)為數(shù)字時被攔截

這里可以使用16進(jìn)制或者科學(xué)計數(shù)法0x1或1e1

我們首先閉合一下后面的單引號，在后面加上and'讓他配合原有的單引號把%包裹起來

keywords=11'and-updatexml(0x1,,0x1)and'

現(xiàn)在我們來構(gòu)造報錯內(nèi)容，concat函數(shù)被攔截，這里使用 concat_ws()函數(shù)，將后面的參數(shù)用第一個值來分割，然后配合@@datadir輸出路徑

首先通過-1 /1/0運(yùn)算判斷出存在數(shù)字型 sql 注入，一般來說 asp 都是用 access，這里使用--%0a的方式來構(gòu)造 payload 也能正常執(zhí)行，判斷出這里為 mssql

這里的測試 payload 是：

在 asp+iis 的環(huán)境下unicode在 iis 解析之后會被轉(zhuǎn)換成 multibyte，但是轉(zhuǎn)換的過程中可能出現(xiàn)：多個 widechar會有可能轉(zhuǎn)換為同一個字符

打個比方就是譬如 select 中的 e對應(yīng)的 unicode 為%u0065，但是%u00f0同樣會被轉(zhuǎn)換成為e

首先測試延時 payload，將里面的o替換為%u00ba，返回時間正常

改為 1，頁面返回 3 秒，執(zhí)行了 3 次，不管輸入多少都會被乘 3

寫個 tamper 即可使用 sqlmap 跑