Web应用防火墙(WAF),这玩意儿就像是你家大门上的智能锁,理论上能挡住各种妖魔鬼怪。但道高一尺魔高一丈,黑客们为了搞事情,那Payload混淆的招数,简直层出不穷。别再死磕那些老掉牙的姿势了,这里给你盘点40种绕过WAF的骚操作,看完保证让你直呼“绝了!”,当然,仅供学习参考,切勿用于非法用途!
1. HTML实体编码:别把<当<,WAF也一样!
HTML编码,说白了就是把那些特殊字符,比如<、>、",换成<、>、"这种“人畜无害”的模样。WAF一看,呦,挺老实的,放你进去。
- 举个栗子:
<script>alert(1)</script>变身<script>alert(1)</script>
2. URL编码:百分号后面的秘密
URL编码,就是把字符变成%加上它的ASCII码十六进制表示。空格变%20,尖括号变%3C、%3E。攻击者用这招,能让Payload在URL里“隐身”。
- 进阶玩法:试试双重URL编码,让WAF彻底懵圈。
<->%3C->%253C
3. Unicode编码:WAF的字符集盲区
Unicode编码,用%u0027这种形式代表字符,单引号也能变成WAF不认识的“外星文”。
- 注意:不同WAF对Unicode编码的支持程度不一样,多试试总没错。
4. Base64编码:二进制数据的“障眼法”
Base64,把二进制数据变成一堆看着像乱码的字符。攻击者用它给Payload加密,到了服务器再解码,WAF想拦都拦不住。
- 脑洞大开:结合其他编码方式一起用,效果更佳!
5. XOR加密:简单粗暴但有效
XOR加密,就是把明文和密钥做异或运算,生成密文。服务器解密后就能执行。WAF想看懂?没门!
- 安全提示:密钥一定要保管好,别被发现了。
6. 字母大小写混淆:WAF:我太难了!
有些WAF傻乎乎的,只认全大写或全小写。攻击者就故意大小写混着用,比如把select写成SelEct,WAF直接瞎了。
- 实战技巧:随机大小写,让WAF防不胜防。
7. 空格替换:WAF的“洁癖”
WAF对空格很敏感?那就用其他空白符代替,比如%09、%0a、%0b、%0c、%0d、%a0,或者直接用加号+顶上。
- 高级用法:多种空白符混合使用,增加WAF识别难度。
8. 双关键字绕过:拆字大法
WAF只会过滤一次关键字?那就把关键字拆成两半,比如SELECT拆成SEL和ECT。
- 核心思想:化整为零,各个击破。
9. 内联注释:SQL注入的“隐身衣”
SQL注入时,用MySQL的内联注释/*!*/包裹恶意代码,WAF直接忽略,代码照常执行。
- 适用场景:MySQL数据库。
10. 请求方式欺骗:出其不意,攻其不备
WAF对不同请求方式的处理可能不一样。用非常规的HTTP方法,比如TRACE、OPTIONS,说不定就能绕过去。
- 风险提示:有些服务器可能不支持这些方法。
11. 超大数据包:撑死WAF
WAF有数据包大小限制?那就发个超大的包,让WAF忙不过来或者直接崩溃。
- 副作用:可能会影响服务器性能。
12. 随机化请求:让WAF找不到规律
每次请求都变变变!请求头、Cookie、User-Agent,随机选择,让WAF摸不着头脑。
- 关键在于:足够随机,足够分散。
13. 分段传输:切香肠战术
把攻击载荷切成小块,分多次发送。WAF想拦?等你拼起来再说吧!
- HTTP协议知识:了解分块传输的原理很重要。
14. IP伪造:瞒天过海
伪造源IP地址,让WAF无法追踪和过滤恶意请求。
- 技术难度:需要一定的网络知识和权限。
15. 利用WAF自身缺陷:知己知彼,百战不殆
不同版本的WAF有解析差异,WAF规则库也可能有漏洞。找到这些弱点,就能精准打击。
- 信息收集:尽可能了解目标WAF的版本和配置。
16. 寻找真实IP:釜底抽薪
WAF前面通常有CDN。找到网站的真实IP,直接绕过WAF。
- 常用方法:查历史DNS记录、扫描全网IP。
17. 字符替换与注释:障眼法升级版
在Payload里插入无害字符或注释符号,干扰WAF的解析。
- 例如:SQL注入里加
--,XSS里加空格、换行符。
18. 修改请求头:伪装成好人
修改User-Agent,添加自定义请求头,让WAF觉得你是正常用户。
- 常用伎俩:模仿主流浏览器或搜索引擎的User-Agent。
19. 参数污染:浑水摸鱼
在URL参数里添加恶意字符或重复参数,让WAF无法正确解析。
- 小心:过度污染可能导致请求失败。
20. 嵌套请求:俄罗斯套娃
在一个请求里嵌套另一个请求,多层编码或混淆,隐藏真实攻击载荷。
- 高阶技巧:JSON请求里嵌入编码后的JSON请求。
21. 特殊字符集:WAF的知识盲区
用WAF不认识的字符集编码Payload,比如UTF-7、ISO-8859-1。
- 兼容性测试:确保服务器支持这些字符集。
22. 混淆函数名/变量名:改头换面
SQL注入或远程代码执行时,用不同的函数名或变量名绕过WAF的关键词过滤。
- 例如:
CONCAT换成@@CONCAT@@。
23. 编码转换攻击:乾坤大挪移
Payload一部分用Base64,一部分用URL编码,混合使用多种编码方式。
- 组合拳:多种编码方式灵活组合,威力无穷。
24. 参数截断:断章取义
发送被截断的参数,让WAF无法解析整个Payload。
- 依赖于:WAF对截断参数的处理方式。
25. 混淆参数顺序:打乱WAF的节奏
改变请求参数的顺序,让WAF无法匹配预定义的规则集。
- 简单有效:但可能影响服务器对参数的解析。
26. 利用WAF延迟:趁你病,要你命
短时间内发送大量请求,让WAF处理不过来,忽略某些攻击载荷。
- DDoS风险:可能被视为DDoS攻击。
27. 混淆内容类型:瞒天过海
把application/x-www-form-urlencoded改成multipart/form-data,绕过WAF对特定内容类型的检测规则。
- 需要配合:修改请求体的内容格式。
28. Cookie注入:暗度陈仓
把攻击载荷藏在Cookie里,WAF可能不会检查。
- 适用场景:WAF对Cookie的过滤不严格。
29. HTTP头注入:借刀杀人
类似于Cookie注入,把攻击载荷藏在HTTP头里,比如Referer、User-Agent。
- 注意:有些HTTP头会被WAF严格检查。
30. 编码嵌套与重复:套娃式编码
多层编码,重复嵌套编码步骤,让WAF解码困难。
- 考验:对各种编码方式的理解和运用。
31. 自定义协议混淆:另辟蹊径
针对使用自定义协议的应用,设计符合协议格式但包含恶意代码的Payload。
- 前提:了解自定义协议的细节。
32. JSONP注入:跨域的诱惑
把攻击载荷包装在JSONP回调函数里,绕过WAF对跨域请求的检测。
- JSONP原理:需要理解JSONP的工作方式。
33. 混淆请求方法:剑走偏锋
用不常见的请求方法,比如PUT、DELETE、PATCH。
- 风险:服务器可能不支持这些方法。
34. 分块传输编码:化整为零
HTTP/1.1支持分块传输编码,把响应体分成多个块传输。攻击者可以把攻击载荷分散在多个块中。
- HTTP/1.1特性:需要了解HTTP/1.1协议。
35. 混淆路径参数:指鹿为马
在RESTful API的路径参数里插入混淆后的攻击载荷。
- RESTful API:需要了解RESTful API的设计原则。
36. 利用HTTP/2特性:站在巨人的肩膀上
HTTP/2引入了多路复用、头部压缩等新特性。利用这些特性构造混淆的Payload。
- HTTP/2协议:需要深入理解HTTP/2协议。
37. 混淆查询参数:瞒天过海
在查询参数里插入混淆的攻击载荷,或者修改查询参数的格式和结构。
- URL结构:需要熟悉URL的组成部分。
38. WebSocket通信:新的战场
通过WebSocket发送混淆的攻击载荷。
- WebSocket协议:需要了解WebSocket协议的细节。
39. 混淆Content-Type:障眼法
把请求的Content-Type头部设置为WAF不常见或不支持的类型。
- Content-Type:需要了解常见的Content-Type类型。
40. WAF规则更新滞后性:时间差攻击
很多WAF的规则更新存在滞后性,攻击者可以利用这个时间差,在新的漏洞被修复前进行攻击。
- 信息获取:关注最新的安全漏洞和WAF规则更新情况。
总结:WAF攻防是一场永无止境的猫鼠游戏。攻击者不断寻找新的绕过方式,WAF也不断升级防御策略。掌握这些Payload混淆技术,能让你在渗透测试中更加游刃有余,但请务必遵守法律法规,切勿用于非法用途!记住,安全是为了更好的防御,而不是为了攻击。
```
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
--论文vue3)
)
)
)
)