WAF自动化绕过工具 x-waf

admin 2024年12月6日15:47:09评论31 views字数 1394阅读4分38秒阅读模式
0x01 工具介绍

一个基于fuzz的waf绕过测试工具,当前支持命令执行绕过。后续会支持更多绕过方式、攻击类型。

0x02 安装与使用

1、准备需要绕过的HTTP请求文件,例如:test.http

POST /demo/detect/ HTTP/1.1Host: cmdchop.chaitin.comaccept: application/json, text/javascript, */*; q=0.01accept-language: zh-CN,zh;q=0.9,en;q=0.8content-type: application/jsoncookie: _ga=GA1.2.212169703.1725506930; _ga_PNVRK9GRJ2=GS1.2.1725527773.2.1.1725529516.0.0.0; user_id=f62aa452-d92a-405a-9295-49aba0ed6d47; cid=dea7646d-7542-432f-858f-c745914a1e73; mid=c0b990d0-a3dc-455c-9f66-bac94da0b098origin: https://cmdchop.chaitin.compriority: u=1, ireferer: https://cmdchop.chaitin.com/demo/sec-ch-ua: "Chromium";v="130", "Google Chrome";v="130", "Not?A_Brand";v="99"sec-ch-ua-mobile: ?0sec-ch-ua-platform: "macOS"sec-fetch-dest: emptysec-fetch-mode: corssec-fetch-site: same-originuser-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36x-requested-with: XMLHttpRequestContent-Length: 50{"type":"urlpath","payload":"/?p=cat /etc/passwd"}
2、将payload的位置用%{{.*}}%标记,例如
{"type":"urlpath","payload":"/?p=%{{cat /etc/passwd}}%"}

3、运行命令:

./x_waf -target test/chatin-cmdchop.http -fuzz-cmd-mode real -waf-block-regex payload

-fuzz-cmd-mode real 会实际执行命令,验证payload是否有效,当前只支持查看/etc/passwd文件内容

-fuzz-cmd-mode mock 会解析命令,验证payload是否有效,支持任意命令

-waf-block-regex payload 指定waf拦截时页面响应的匹配内容,支持正则表达式

4、查看bypass结果:

cat result.txt

5.运行截图

WAF自动化绕过工具  x-waf

0x03 下载

https://github.com/leveryd/x-waf

原文始发于微信公众号(Web安全工具库):WAF自动化绕过工具 -- x-waf

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月6日15:47:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WAF自动化绕过工具 x-wafhttp://cn-sec.com/archives/3473428.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息