原理:
在头部加入 Transfer-Encoding: chunked 之后,就代表这个报文采用了分块编码。这时,post请求报文中的数据部分需要改为用一系列分块来传输。每个分块包含十六进制的长度值和数据,长度值独占一行,长度不包括它结尾的,也不包括分块数据结尾的,且最后需要用0独占一行表示结束。 1.打开burpsuite,在扩展插件模块,添加分块传输需要的插件:
2.添加完之后,正常访问一个请求,在参数后面接注入语句:
安全狗拦截访问,爆出错误。
3.打开BP代理,拦截数据包,构造分块传输语句:
WAF并没有拦截,当在语句插入函数的时候,WAF会拦截,检测到用户可能要到数据库取数据
4.拆分查询语句,变为分块传输:
将id=2 union select 1,2,user(),4进行拆分,
使用分块后,默认的请求包头数据会增加请求头,告诉服务器将要用分块传输,语句经过拆分,变为零碎的数据包,WAF检测机制就不会认为此语句是一个危险的代码,在分块传输的数据包没有完全传完的时候,服务器是不做任何响应,等到全部传完后,在后台进行完整的语句拼接,带入数据库查询,绕过WAF限制
需要注意的是,拆分完成后,有0占位一行,来结束拆分,后面还有两行空行,用来结束数据包请求,如果删掉后面两空行,请求变为死循坏,服务器是不做任何相应的。
这样就绕过了WAF,以上步骤得以实现的前提是程序开发时,接受请求的方式应写为$_REQUEST(),既接受get请求,又接受post请求,