Buenas! Me interesó mucho la técnica para bypassear WAF enviando paquetes grandes. Quise hacer unas pruebas locales con mod security sobre Apache, configurándolo con éstos parámetros:

SecRuleEngine On
SecRequestBodyLimitAction ProcessPartial
SecRequestBodyLimit 25000
SecRequestBodyNoFilesLimit 8000
SecRequestBodyInMemoryLimit 8000

Y envío una petición con curl de la siguiente forma:

curl -F "junk=`python -c 'print "A" * 9000'`" -F "vuln=aaaaa" 192.168.0.110/xss/web2.php -v -H "Expect:" -H "User-Agent:" -H "Connection: close" -H "Accept:"

No muestro una imagen del paquete que se envía ya que es idéntico al que mencionás... Todas las cabeceras, todo... Pero no está funcionando como me imaginaba, ya que el servidor me devuelve un 200 con las respectivas cabeceras pero con el body vacío. En éste caso la aplicación lo único que hace es reflejar el parámetro vuln. Si le mando un request con 7000 "A" por ejemplo, lo que mando en vuln se refleja perfectamente, pero cuando supera los 8000 bytes, la respuesta me la manda vacía... Alguna idea de qué condiciones o cosas puedo estar olvidando para que ésto funcione?

Versiones de mod security:

ModSecurity: APR compiled version="1.6.2"; loaded version="1.6.3"
ModSecurity: PCRE compiled version="8.39 "; loaded version="8.39 2016-06-14
ModSecurity: LUA compiled version="Lua 5.1"
ModSecurity: YAJL compiled version="2.1.0"
ModSecurity: LIBXML compiled version="2.9.4"

Gracias!