大多数 Web 应用程序防火墙 (WAF) 对发送请求正文时可以处理的数据量都有限制。这意味着对于包含请求正文的 HTTP 请求(即 POST、PUT、PATCH 等),通常只需在请求正文前面添加垃圾数据即可绕过 WAF。
当请求中填充了这些垃圾数据时,WAF 将处理最多 X kb 的请求并进行分析,但 WAF 限制之后的所有内容将直接通过。
nowafpls 是一个简单的 Burp 插件,它会将这些垃圾数据插入到中继器选项卡内的 HTTP 请求中。您可以从预设数量的垃圾数据中进行选择,也可以通过选择“自定义”选项插入任意数量的垃圾数据。
「 安装 nowafpls 」
nowafpls 是一个基于 Python 的 Burp 插件。
克隆或者下载此 repo。转到 Burp Suite 中的扩展选项卡。点击“添加”选择扩展类型 - Python选择您在步骤1中下载的“nowafpls.py”
「 记录的 WAF 限制 」
| WAF 提供商 | 最大请求主体检查大小限制 |
| Cloudflare | 规则集引擎 128 KB,企业最高 500 MB |
| AWS WAF | 8 KB - 64 KB(根据服务可配置) |
| Akamai | 8 KB - 128 KB |
| Azure WAF | 128 KB |
| Fortiweb by Fortinet | 100 MB |
| Barracuda WAF | 64 KB |
| Sucuri | 10 MB |
| Radware AppWall | 云 WAF 最高 1 GB |
| F5 BIG-IP WAAP | 20 MB(可配置) |
| Palo Alto | 10 MB |
| Cloud Armor by Google | 8 KB(可增加至 128 KB) |
「 使用 nowafpls 」
将您想要绕过 WAF 的任何请求发送到中继器选项卡。将光标放在您想要插入垃圾数据的地方。右键点击 -> 扩展 -> nowafpls选择要插入多少垃圾数据点击“确定”nowafpls 将根据请求类型(URLEncoded/XML/JSON)自动插入垃圾数据。
https://gist.github.com/Rhynorater/ace68d4976357ca0937cb4669f303306项目地址:https://github.com/assetnote/nowafpls
原文始发于微信公众号(扫地僧的茶饭日常):GitHub | Burpsuite 插件一键插入垃圾数据过WAF
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论