日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

waf可以查看post请求吗_WAFNinja:一款绕过WAF的渗透工具

發布時間:2025/5/22 编程问答 23 豆豆
生活随笔 收集整理的這篇文章主要介紹了 waf可以查看post请求吗_WAFNinja:一款绕过WAF的渗透工具 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

0x00 前言

在我們平時做滲透測試的時候,難免會遇到各種WAF的阻擋。這時一款良好的繞過WAF的滲透測試工具就顯得很受滲透測人員歡迎,在這里我們推薦一款繞過WAF的實用滲透工具,希望對大家平時做滲透有所幫助。

0x01簡介

WAFNinja 是一款采用python編寫的命令行工具。它通過自動化步驟來幫助滲透測試者來繞過WAF,而這些步驟對于繞過輸入驗證來說是必需的。該工具的編寫目標是方便擴展、易于使用和在團隊環境下也可使用。眾多的載荷和模糊字符串是存儲在本地的數據庫,并且伴隨著該工具一同發布出來。 WAFNinja 支持HTTP連接、GET/POST請求、可以使用cookie去訪問那些只限于授權用戶的頁面。

0x02 下載安裝

1下載方式:

github下載地址:https://github.com/khalilbijjou/WAFNinja

git clone https://github.com/khalilbijjou/WAFNinja

或者直接用瀏覽器下載并且解壓到本地文件。

2 安裝

直接進入該文件夾,輸入如下命令:

root@kali:~/WAFNinja# python wafninja.py -h

如果出現正常的文檔說明,該結果證明安裝成功;

如果出現類似“ ImportError: No module named progressbar ”,請自行安裝相關的包。

例如本處的解決方式為:root@kali:~/#pip install processbar ( 或者在終端輸入:easy_install processbar)

0x03 使用

1 查看幫助信息

root@kali:~/WAFNinja# python wafninja.py -h

root@kali:~/WAFNinja# python wafninja.py fuzz -h # 我們可以把fuzz 換成 bypass,insert-fuzz,insert-

bypass,set-db 這幾個關鍵詞,便可以查看相對應的幫助信息。

2 使用示例

fuzz(模糊測試):

python wafninja.py fuzz -u “http://www.target.com/index.php?id=FUZZ” -c “phpsessid=value” -t xss -o output.html

bypass(繞過WAF):

python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" -c "phpsessid=value" -t xss -o output.html

insert-fuzz(用戶自定義模糊測試載荷):

python wafninja.py insert-fuzz -i select -e select -t sql

其他參數:

{fuzz,bypass,insert-fuzz,insert-bypass,set-db}

  • fuzz 檢查WAF允許通過的符號和關鍵詞。.
  • bypass 從數據庫中發送載荷到目標。
  • insert-fuzz 添加一個模糊字符串。
  • insert-bypass 添加一個載荷到繞過列表。
  • set-db 設置另外一個數據庫文件。對于別人分享的相同載荷數據庫時,這個特別有用。

可選參數:

-h, –help 顯示幫助信息并且退出。

-v, –version 顯示程序版本號并且推出。

3 備注

0x01中的第一步時,當我們使用

root@kali:~/WAFNinja# python wafninja.py fuzz -h

usage: wafninja.py fuzz [-h] -u URL [-p POST PARAMETER] [-c COOKIE] -t TYPE [-d DELAY] [-o OUTPUT FILE]

可選參數:

  • -h, –help 顯示幫助信息并且退出。
  • -u URL 目標URL(例如: “www.target.com/index.php?id=FUZZ”)注意:用關鍵詞FUZZ來指定模糊測試的位置。
  • -p POST PARAMETER 通過post參數發送模糊測試載荷 Send fuzz through post parameter
  • -c COOKIE HTTP Cookie 頭部
  • -t TYPE 載荷的類型 [sql|xss]
  • -d DELAY 每個請求的等待時間。默認是0秒
  • -o OUTPUT FILE 保存輸出到html 文件

原創文章,作者:Moto,如若轉載,請注明出處:http://www.mottoin.com/tools/86800.html

總結

以上是生活随笔為你收集整理的waf可以查看post请求吗_WAFNinja:一款绕过WAF的渗透工具的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。