WooYun.org

首先，ngx_lua_waf是基于lua-nginx-module的一个灵活性很强的WAF，并且相对于脚本层的WAF（如360webscan等），效率也是相对高很多的。在drops里也对大家做了一些介绍：http://drops.wooyun.org/tips/5136
项目地址为：https://github.com/loveshell/ngx_lua_waf
看到ngx_lua_waf下init.lua的代码：https://github.com/loveshell/ngx_lua_waf/blob/master/init.lua 92行

function args()
    for _,rule in pairs(argsrules) do
        local args = ngx.req.get_uri_args()
        for key, val in pairs(args) do
            if type(val)=='table' then
                if val == false then
                    data=table.concat(val, " ")
                end
            else
                data=val
            end
            if data and type(data) ~= "boolean" and rule ~="" and ngxmatch(unescape(data),rule,"imjo") then
                log('GET',ngx.var.request_uri,"-",rule)
                say_html()
                return true
            end
        end
    end
    return false
end

如上，args函数是针对GET请求的防御函数。argsrules是预置的规则table。
local args = ngx.req.get_uri_args()，这句话获取了GET变量作为局部变量args的值。
下面的for循环遍历args变量，key和val就是GET的键和值。
很奇怪的是这一段：

if type(val)=='table' then
                if val == false then
                    data=table.concat(val, " ")
                end
            else

先判断val的类型是否是table类型，如果是再判断他是否等于false。
这个逻辑明显有问题（既然是table，为何又等于false?），不知道是不是因为作者的笔误。不管是笔误也好，基于其他考虑也好，我们来思考一下这个语句会造成怎样的后果。
lua里table实际上就是类似于数组的东西，我们如果访问http://target/?a=1&a=2&a=3的话，这里的val就是{1,2,3}。
所以，type(val)=='table'是成立的，而val是不可能等于false的，没有进入中间的if语句。所以这时，data实际上是没赋值的（值是nil或上一次data的值，因为lua里默认变量都是全局的）！
而之后进行拦截的if语句：if data and type(data) ~= "boolean" and rule ~="" and ngxmatch(unescape(data),rule,"imjo") then
因为data == nil（或上一次的值，也就是上一次提交的val，我们可以控制的，让他等于一个不被拦截的值），所以这个if语句也是不成立的，所以最后实际上args函数啥也没干就结束了！
所以这里，我们通过HPP的方式（/?a=1&a=2&a=3），绕过了ngx_lua_waf对GET变量的防御。
有一点要注意的，上一次的val一定不能被拦截，否则因为这次data沿用的上一次的val，所以也会拦截，即使使用hpp也绕不过。这里提一下，免得测试的时候出错。
另外，我提另一个正则的问题。
在源码中，我们可以看到所有正则都有用m修饰：ngxmatch(unescape(data),rule,"imjo")
m表示multiline，匹配多行，也就是.是不匹配换行符的。所以导致我们可以直接用union%0aselect绕过默认的防御正则，不过这都是小问题了，将m改成s即可。