下课仔：xingkeit.top/7217/

在网络安全领域，SQL注入攻击是常见且危害巨大的威胁之一。SQLMap作为一款强大的开源自动化SQL注入工具，能有效检测和利用SQL注入漏洞。然而，许多网站部署了Web应用防火墙（WAF）来防御此类攻击，这给SQLMap的使用带来挑战。掌握WAF绕过技巧，能让SQLMap在实际渗透测试中发挥更大作用。

理解WAF的检测机制

WAF主要通过关键词过滤、语法分析和频率限制来识别SQL注入攻击。关键词过滤会检测如“UNION”“SELECT”“FROM”等SQL关键字；语法分析则识别异常的SQL语句结构；频率限制用于阻止短时间内大量相似请求。了解这些机制，是绕过WAF的基础。

常见WAF绕过技巧

请求头伪装

部分WAF对搜索引擎爬虫或特定IP段设置白名单。通过修改HTTP请求头，伪装成搜索引擎爬虫，如将User-Agent设置为“Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”，可能绕过WAF检测。此外，某些WAF获取客户端IP的方式存在缺陷，只检查特定Header（如X-Forwarded-For），攻击者可伪造该Header绕过IP白名单限制。

利用静态资源后缀

WAF为提高检测效率，对常见静态文件（如.js、.jpg、.css等）后缀的请求往往不进行检测。通过在请求URL中添加静态资源后缀，如将“http://example.com/page.php?id=1”改为“http://example.com/page.php/1.js?id=1”，可能绕过WAF的检测机制。

构造特殊URL路径

一些WAF内置默认白名单列表，如包含“admin”“manager”“system”等管理后台相关字符串的URL可能不进行检测。可构造包含这些字符串的URL路径，如“http://example.com/sql.php/admin.php?id=1”，尝试绕过WAF的规则检测。

编码与混淆技术

利用各种编码方式和内容类型声明可以混淆WAF的检测规则。URL编码与双重URL编码对特殊字符进行处理，部分WAF只解码一次，双重编码可绕过其检测。字符集编码（Charset）绕过通过修改Content-Type头部使用非常用字符集，也能干扰WAF的规则匹配。此外，使用注释符分割SQL关键字，如将“UNION SELECT”替换为“UNI//ON SEL//ECT”，使WAF难以识别完整语义。

分块传输与协议差异

分块传输编码（Chunked Transfer Encoding）将请求体分块发送，WAF与后端服务器对分块数据解析逻辑可能不一致，利用这种差异可绕过WAF检测。不同WAF对HTTP协议版本支持不同，通过发送非标准HTTP版本请求（如HTTP/0.9）或最新版本（如HTTP/2），利用WAF解析差异也可能实现绕过。

综合应用与策略调整

在实际渗透测试中，建议采用渐进式测试策略。先使用基本参数确定防护类型，再从简单tamper脚本开始，逐步增加复杂度。例如，第一阶段使用“space2comment”脚本，将空格替换为注释符号；第二阶段结合“randomcase”脚本，随机改变SQL关键字大小写；第三阶段进一步组合“charunicodeescape”等脚本，进行更复杂的编码混淆。同时，要监控WAF拦截日志，根据响应情况灵活调整绕过策略，组合使用多种技术提高绕过成功率。

掌握SQLMap的WAF绕过技巧，需要深入理解WAF的检测机制，并结合实际场景灵活运用各种方法。在进行渗透测试时，务必确保获得目标系统的测试许可，遵守相关法律法规，避免恶意攻击行为。