Web安全中SQL注入绕过WAF的具体手法和实战案例

在Web安全领域，绕过WAF进行SQL注入是一项复杂的挑战，其核心在于利用WAF检测逻辑与后端SQL解析之间的差异。下面我将结合具体案例，为你梳理主要的绕过手法。

🔍 基础绕过手法

这类手法主要针对WAF的简单匹配规则，是绕过尝试的起点。

• 符号替换与混淆：这是最直接的方式。例如，将逻辑运算符替换为其符号形式（and替换为&&，or替换为||）。对于空格，可以使用注释/**/、换行符%0A或制表符%09等来替代。某些情况下，甚至可以使用特殊字符（如.、+）来连接语句，例如id=1+union+select+1,2,3。

• 编码与大小写变换：通过URL编码、十六进制编码、Unicode编码等方式对关键字进行处理，可以绕过简单的字符串匹配。例如，UNION SELECT可以写作uNiOn SeLeCt（大小写混合）或%55%4E%49%4F%4E %53%45%4C%45%43%54（URL编码）。双重URL编码（如%2553%2545%254C%2545%2543%2554表示SELECT）也可能有效，因为WAF可能只解码一次 。

• 注释技巧：注释符//,--,#,/**/可以拆分关键字。MySQL特有的内联注释/*!50777SELECT*/只有MySQL版本大于等于5.07.77时才会执行其中的内容，常被用于绕过 。例如：id=1+un/**/ion+sel/**/ect+1,2,3--+。

• 关键字双写：如果WAF仅移除敏感关键字一次，双写可以绕过。例如：id=-1'UNIunionON SeLselectECT 1,2,3--+，经过一次过滤后变为UNION SELECT 1,2,3。

🌐 协议与请求变异

当基础手法失效时，可以从HTTP协议本身寻找突破口。

• 修改请求方式：如果GET请求被拦截，可以尝试改为POST请求，或者将application/x-www-form-urlencoded类型改为multipart/form-data。后者因为解析复杂，某些WAF可能处理不当 。

• 参数污染(HPF)：向同一参数多次赋值（如?id=1&id=2），不同服务器和WAF处理方式不同（可能取第一个、最后一个或拼接），这种差异可被利用 。例如，在a=[input1]&b=[input2]的参数中，可将注入语句拆分：a=-1' union/*&b=*/select 1,user(),3--+。

• 利用协议解析差异：在multipart/form-data请求中，通过0x00截断、双写内容描述头（如Content-Disposition）等方式，可能造成WAF解析出的参数值与后端应用解析结果不一致，从而实现通用绕过 。例如，在filename前加入0x00，可能导致WAF认为这是一个文件上传请求而放行，但后端PHP仍将其视为POST参数 。

⚙️ 工具与高级技巧

在实战中，尤其是CTF比赛或渗透测试中，以下方法也很常见。

• SQLMap的Tamper脚本：SQLMap提供了丰富的tamper脚本来自动化绕过。例如，使用space2comment.py将空格替换为注释，或使用charencode.py进行URL编码。可以组合使用：sqlmap -u "目标URL" --tamper=space2comment.py,base64encode.py --random-agent --delay 1。

• 利用数据库特性：不同数据库有独特语法。例如，MySQL中可使用select{x user}from{x11 admin}这样的“黑魔法” 。通过/*!版本号*/的格式嵌入特定版本号的内联注释，也是常见手法 。

• 逻辑层与性能绕过：寻找WAF自身的逻辑漏洞，如通过添加静态资源路径（/sql.php/1.js?id=1）或冒充管理员路径（/sql.php?a=/admin/&b=../）来利用白名单机制 。发送超长请求或大量参数可能导致WAF性能瓶颈或检测超时，从而绕过防护 。

🛡️ 防御视角

了解攻击手法是为了更好地防御。从防御者角度看，应对SQL注入绕过需要：

• 纵深防御：不要仅依赖WAF。首要的是安全编码，使用参数化查询（预编译语句）从根本上杜绝SQL注入。

• WAF规则优化：定期更新WAF规则，采用基于语义分析而不仅是模式匹配的检测引擎。

• 最小化原则：对用户输入进行严格的类型检查、长度限制和格式验证。

💎 实战案例参考

在一些CTF比赛或特定WAF的测试中，可以看到这些手法的组合应用。例如，有研究者在绕过长亭雷池WAF或安全狗时，就曾通过构造特定的multipart/form-data请求（如双写内容描述行、利用0x00截断等）成功实现了SQL注入 。在CTFshow红包题这类场景中，选手常需综合运用编码、注释、参数拆分等多种技巧来应对严格的关键字过滤 。

希望这些具体的绕过手法和思路能帮助你更深入地理解WAF的攻防对抗。请注意，所有这些技术都应仅用于合法授权的安全测试与研究，目的是提升防护能力。