0x00 简介
WAFNinja 简介
WAFNinja 是一款采用Python编写的命令行工具。它通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需的。该工具的编写目标是方便扩展、易于使用和在团队环境下也可使用。众多的载荷和模糊字符串是存储在本地的数据库,并且伴随着该工具一同发布出来。WAFNinja 支持HTTP连接、GET/POST请求、可以使用cookie去访问那些只限于授权用户的页面。
0x01 下载安装
下载方式
github下载地址:https://github.com/khalilbijjou/WAFNinja可用git clone https://github.com/khalilbijjou/WAFNinja
或者直接用浏览器下载并且解压到本地文件。
安装
直接进入该文件夹,输入如下命令:
[email protected]:~/WAFNinja# python wafninja.py -h如果出现正常的文档说明,该结果证明安装成功;
如果出现类似“ ImportError: No module named progressbar ”,请自行安装相关的包。
例如本处的解决方式为:
[email protected]:~/#pip install processbar ( 或者在终端输入:easy_install processbar)0x02 使用
查看帮助信息
[email protected]:~/WAFNinja# python wafninja.py -h[email protected]:~/WAFNinja# python wafninja.py fuzz -h # 我们可以把fuzz 换成 bypass,insert-fuzz,insert-bypass,set-db 这几个关键词,便可以查看相对应的帮助信息。
使用示例
fuzz(模糊测试):
python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" -c "phpsessid=value" -t xss -o output.htmlbypass(绕过WAF):python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" -c "phpsessid=value" -t xss -o output.htmlinsert-fuzz(用户自定义模糊测试载荷):python wafninja.py insert-fuzz -i select -e select -t sql
其他参数:{fuzz,bypass,insert-fuzz,insert-bypass,set-db}fuzz 检查WAF允许通过的符号和关键词。.bypass 从数据库中发送载荷到目标。insert-fuzz 添加一个模糊字符串。insert-bypass 添加一个载荷到绕过列表。set-db 设置另外一个数据库文件。对于别人分享的相同载荷数据库时,这个特别有用。可选参数:-h, --help 显示帮助信息并且退出。-v, --version 显示程序版本号并且推出。
备注
0x01中的第一步时,当我们使用
[email protected]:~/WAFNinja# python wafninja.py fuzz -husage: wafninja.py fuzz [-h] -u URL [-p POST PARAMETER] [-c COOKIE] -t TYPE[-d DELAY] [-o OUTPUT FILE]
可选参数:
-u URL 目标URL(例如:"www.target.com/index.php?id=FUZZ")注意:用关键词FUZZ来指定模糊测试的位置。-p POST PARAMETER 通过post参数发送模糊测试载荷-c COOKIE HTTP Cookie 头部-t TYPE 载荷的类型 [sql|xss]-d DELAY 每个请求的等待时间,默认是0秒-o OUTPUT FILE 保存输出到html 文件-h, --help 显示帮助信息并且退出。
作者:ymmy,文章转载于FreeBuf。
赠书福利
一:Python自动化测试实战
书的写作初衷是为了帮助更多功能测试人员转型自动化测试方向。在转型过程中,主流自动化测试技术和应用场景的结合是非常重要的一环。本书从自动化测试理论入手,全面地阐述自动化测试的意义及实施过程。全文以Python语言驱动,结合真实案例分别对主流自动化测试工具Selenium、Robot Framework、Postman、Python+Requests、Appium等进行系统讲解。通过学习本书,读者可以快速掌握主流自动化测试技术,并帮助读者丰富测试思维,提高Python编码能力。
二:人工智能算法基础
(1)零基础也能快速入门。本书从最基础的算法基础讲起,由浅入深,层层递进,在巩固固有知识的同时深入讲解人工智能的算法原理,无论读者是否从事计算机相关行业,是否接触过人工智能,都能通过本书实现快速入门。(2)理论和实践相结合。每章最后提供根据所在章的理论知识点精心设计的“应用”,读者可以通过应用实例进行实践操作,为以后的算法学习奠定基础。(3)大量范例源码+习题答案,为学习排忧解难。本书所有示例都有清晰完整的源码,每章之后设有习题并配套题目答案,讲解清晰,解决读者在学习中的所有困惑。
三:数据结构和算法基础(Java语言实现)
为了感谢大家一直以来的关注与支持,会有三本书籍免费赠送。
规则如下:
1. 本文末点‘在看’,不需要转发朋友圈,点个‘在看’就可以。
2. 私聊文末公众号发送“0713”即可扫描参与抽奖,注意看是发送暗号“0713”。
3. 中奖者不满足条件1,视为放弃中奖资格。
4. 活动截止时间7月13日 16:00点,到时候还要中奖者及时联系号主发送你的中奖核验二维码、收货地址、姓名、手机号以及想要的书籍,好给您发送书籍哦!24小时内未联系号主视为自动放弃!骗书行为出版社会永久拉黑!
先点“再看”,然后点击下方公众号私聊发送“0713” 即可马上扫描参与抽奖
如有侵权请联系:admin#unsafe.sh