web應(yīng)用一般采用基于表單的身份驗(yàn)證方式（頁(yè)面雛形如下圖所示），處理邏輯就是將表單中提交的用戶名和密碼傳遞到后臺(tái)數(shù)據(jù)庫(kù)去查詢，并根據(jù)查詢結(jié)果判斷是否通過身份驗(yàn)證。對(duì)于LAMP架構(gòu)的web應(yīng)用而言，處理邏輯采用PHP，后臺(tái)數(shù)據(jù)庫(kù)采用MySQL。而在這一處理過程，由于種種處理不善，會(huì)導(dǎo)致不少嚴(yán)重的漏洞，除去弱口令與暴力破解，最常見的就是SQL注入。SQL注入可以在SQLNuke——mysql 注入load_file Fuzz工具看到如何利用，而本篇文章的重點(diǎn)是利用MySQL隱形的類型轉(zhuǎn)換繞過WAF的檢測(cè)。

下面使用實(shí)例來展示這一過程。

實(shí)例包括2個(gè)腳本login.html與login.php，1張存放用戶名與密碼的member.user表。

（1）表單login.html

<html> 
<body> 
<form id="form1" name="form1" method="post" action="login.php"> 
<label>UserName  
<input name="user" type="text" id="user"/> 
</label> 
<br/> 
<label>Password  
<input name="password" type="text" id="password"/> 
</label> 
<br/> 
<label> 
<input name="login" type="submit" id="login" value="Login"/> 
</label> 
</body> 
</html> 

（2）認(rèn)證處理login.php

<?php 
if(isset($_POST["login"]))  
{  
$link = mysql_connect("localhost","root","toor") or die ("cannot connect database".mysql_error());  
mysql_select_db("member") or die ("cannot select the db");  
$query = "select * from user where user='".$_POST["user"]."'and password='".md5($_POST["password"])."'";  
echo $query."<br/>";  
$result = mysql_query($query) or die ("the query failed:".mysql_error());  
echo "<br/>";  
$match_count = mysql_num_rows($result);  
 
if($match_count){  
while($row = mysql_fetch_assoc($result)){  
echo "<strong>User: </strong>".$row["user"]."<br/>";  
echo "<strong>Password: </strong>".$row["password"]."<br/>";  
echo "<br/>";  
}  
}  
else {  
 
echo "Wrong User or password <br/>";  
 
echo '<a href="http://10.1.36.34/login.html">Back</a><br/>';  
}  
mysql_free_result($result);  
 
mysql_close($link);  
} 

注意紅色字體部分，為用戶輸入的用戶名和密碼，沒有進(jìn)行任何過濾就傳入到數(shù)據(jù)庫(kù)中去進(jìn)行查詢. 該腳本將查詢字符串及查詢結(jié)果展示在頁(yè)面中以供直觀的演示SQL查詢結(jié)果。 

（3）member.user

大家看一張常見的用戶表user表，由兩個(gè)字段構(gòu)成user用戶名和password字段。

表中包含8行數(shù)據(jù)

很明顯這是一段有SQL注入的程序，接下來我們來看看下面這些有趣的查詢結(jié)果

(1) 輸入用戶名a’+'b#

查詢結(jié)果如下圖所示

（2）輸入用戶名45a’+'b’#

產(chǎn)生以上結(jié)果的原因是算術(shù)操作符＋的出現(xiàn)將字符型的user轉(zhuǎn)換為了數(shù)值性的user

dani，tanjiti，dani123，0dani 對(duì)應(yīng)的數(shù)值為0
123dani，123tanjiti對(duì)應(yīng)的數(shù)值為123
45dani，045tanjiti對(duì)應(yīng)的數(shù)值為45
'a'+'b'對(duì)應(yīng)數(shù)值為0+0=0，會(huì)把類型轉(zhuǎn)換后為0的用戶名搜索出來
'45a'＋'b'對(duì)應(yīng)數(shù)值為45+0=45，會(huì)把類型轉(zhuǎn)換后為45的用戶名搜索出來

除了＋號(hào)，其他算術(shù)操作符號(hào)也會(huì)發(fā)生類型的類型轉(zhuǎn)換，例如MOD，DIV，＊，／，％，－，

（3）輸入用戶名a’MOD’1′#

’a'MOD’1′對(duì)應(yīng)的數(shù)值為0 MOD 1 ＝0，會(huì)把user對(duì)應(yīng)數(shù)值為0的搜索出來

（4）輸入用戶名‘-”#

”-”對(duì)應(yīng)的數(shù)值為0 -0 ＝0，會(huì)把user對(duì)應(yīng)數(shù)值為0的搜索出來

bit操作符&，｜，^，<< ，>>也有同樣的效果

（5）輸入用戶名‘/’1′#

”/’1′對(duì)應(yīng)的數(shù)值為0 /1 ＝0，會(huì)把user對(duì)應(yīng)數(shù)值為0的搜索出來

bit操作符&，｜，^，<< ，>>也有同樣的效果

（6）輸入用戶名a’&’b'#

’a'&’b'對(duì)應(yīng)的數(shù)值為0&0 ＝0，會(huì)把user對(duì)應(yīng)數(shù)值為0的搜索出來

對(duì)應(yīng)WAF防火墻而言，當(dāng)輸入’ or 1=’1 時(shí)，ModSecurity防火墻會(huì)報(bào)錯(cuò)（我沒有試驗(yàn)過ModSecurity，博客中有介紹）

而上面的實(shí)例則可以繞過防火墻.

總的來說，利用MySQL隱性的類型轉(zhuǎn)換來繞過WAF對(duì)SQL注入的檢測(cè)是蠻有想法的。