渗透测试中老被waf拉黑?本文或许对你有点帮助...

  • A+
所属分类:安全文章

【前言】

日常渗透测试中被waf拉黑基本上属于常态了,基本上需要挂代理来维持~

之前在Windows上我是直接买的商业代理ip,虽然有点贵,但还是比较好用的。后来换到来Mac上,发现之前的各大卖代理ip的厂商都没有macOS下的客户端。虽然有clashx等工具,但是节点基本上都是国际节点,并且数量不多,而我们很多时候则更需要大量的国内节点去做渗透测试,于是便折腾出来一个小脚本。


【介绍】


渗透测试中老被waf拉黑?本文或许对你有点帮助...


基于python3,原理很简单,抓取几个网站上的免费http代理,然后验证存活,最后输出


因为我在Mac上做代理是用proxifier这款工具的,Windows上也有。所以最后的输出结果可直接输出为proxifier的配置文件,导入即可使用。当然也允许输出ip:port这样的格式文本,可用于其他用途。

渗透测试中老被waf拉黑?本文或许对你有点帮助...

渗透测试中老被waf拉黑?本文或许对你有点帮助...


支持在线抓取和本地获取然后验证存活,可自行设置超时时间,支持多线程验证。默认内置抓取66代理和89代理网站的免费代理ip,有需要的可以自己增加网站。


经过自己测试来一下,抓取一千条左右的ip,验证存活的大概二十多条,毕竟是免费的,很正常。还有就是抓取网站放出来的代理的质量,如果发现质量好的免费代理,也可加进去。或者购买高质量的代理,然后验证存活直接生成proxifier配置文件也可以,前提是买的代理没有白名单访问限制。


话说回来,免费的代理中也有质量不错的,刚刚测试了一个,还挺快,存活时间也挺长。

渗透测试中老被waf拉黑?本文或许对你有点帮助...

渗透测试中老被waf拉黑?本文或许对你有点帮助...


当然,在Windows上也同样适用,直接导入后缀为ppx的proxifier的配置文件即可。

渗透测试中老被waf拉黑?本文或许对你有点帮助...


结束语

GitHub上其实有很多这样的脚本了,为何重复造轮子呢?

首先就是好像没有直接生成proxifier配置文件,导入就可以直接使用的(也有可能是我没找到),其次就是我就没事想造个轮子~

公众号回复“freeproxy获取该脚本~

本文始发于微信公众号(台下言书):渗透测试中老被waf拉黑?本文或许对你有点帮助...

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: