记录一次渗透测试WAF绕过经过

今天在对某运营商一个站点进行渗透测试，在查询功能处，查询的关键字存在SQL注入。抓取到的原始请求数据包如下图所示：

对参数searchKeyWord测试发现，目标应用程序有WAF防护：

过滤了单引号和双引号。

在讲述后续注入之前，先简单介绍下何为multipart/form-data。它是一种常见的 POST 数据提交的方式，通常有两种参数提交方式：

① application/x-www-form-urlencoded (默认值)
② multipart/form-data

经过尝试，这个例子中，WAF未能覆盖Content-Type: multipart/form-data; 从而导致可以被绕过。或者WAF会认为它是文件上传请求，从而只检测文件上传，导致被绕过，是典型的协议未覆盖。以前加速乐的WAF也出现过这种缺陷。

参数searchKeyWord存在SQL注入漏洞：

下面直接使用sqlmap进行验证：

注意，这里采用的是基于布尔型的盲注。而且用到了SQL的case when...then...else...end语句。CASE WHEN语句在DB2,ORACLE,SQL SERVER系列,SYBASE等大型数据库都受到支持，是标准的SQL语句。