焚靖是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本,可以自动攻击给定的网站或接口,省去手动测试接口,fuzz题目WAF的时间。
主要特性
-
• 集成了大部分CTF中的SSTI WAF绕过技巧
-
• 全自动爆破API参数并攻击
-
• 全自动分析网站的WAF并生成相应的payload
-
• 支持攻击对应的HTML表单或HTTP路径
-
• 支持将payload放进GET参数中提交,有效降低payload长度
-
• 自动检测关键字替换并绕过
-
• ......
![一个灰常牛皮的全自动WAF绕过脚本]( "一个灰常牛皮的全自动WAF绕过脚本")
安装
在以下方法中选择一种
使用pipx安装运行(推荐)
# 首先使用apt/dnf/pip/...安装pipx
#pip install pipx
# 然后用pipx自动创建独立的虚拟环境并进行安装
pipx install fenjing
fenjing webui
# fenjing scan --url 'http://xxxx:xxx'使用pip安装运行
pip install fenjing
fenjing webui
# fenjing scan --url 'http://xxxx:xxx'下载并运行docker镜像
docker run --net host -it marven11/fenjing webui项目地址
https://github.com/Marven11/Fenjing
原文始发于微信公众号(HACK之道):一个灰常牛皮的全自动WAF绕过脚本
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论