WAF攻防第七十六天

文章详细介绍了WAF(WebApplicationFirewall)的类型,包括软件型、硬件型、云WAF和内置WAF,并讨论了如何识别WAF以及常见WAF产品。重点讲述了信息收集的方法,如被动扫描、目录扫描和使用代理池、白名单来规避WAF检测。此外,还提到了工具如Awvs、Xray和Goby在设置代理和速度控制方面的应用。
摘要由CSDN通过智能技术生成

WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

目录

WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

#知识点:

#章节点:

#补充点:

1、什么是WAF?

软件型WAF

硬件型WAF

云 WAF

网站内置的WAF

2、如何判断WAF?

3、常见WAF拓扑&防护?

4、目前有哪些常见WAF产品?

① 硬件型

② 软件型

③ 云WAF

信息收集-被动扫描-黑暗引擎&三方接口

信息收集-目录扫描-Python代理加载脚本

#信息收集常见检测:

#信息收集常见方法:

信息收集-工具扫描-Awvs&Xray&Goby内置


#知识点:

0、WAF介绍&模式&识别&防护等

1、信息收集-被动扫描&第三方接口

2、信息收集-基于爬虫&文件目录探针

3、信息收集-基于用户&代理池&白名单

#章节点:

WAF绕过主要集中在信息收集,漏洞发现,漏洞利用,权限控制四个阶段。

WAF的绕过可以说是在渗透测试的各个阶段都有的东西,就比如信息搜集,可能你请求速度过快,被它的waf检测到就把你IP封了。或者说检测到了你用于探针的payload,也是一样的封你IP,后渗透的时候我们上传后门,可能也有WAF的阻止不让你上传,现在WAF能一直发展,并且还售卖很多就说明这个恭喜不好绕过,不然谁还会买呢,我们会讲集中绕过,这个只能帮助你在实战中如果碰到了我们讲的,那就可以绕过,没有的话就GG。

#补充点:

1、什么是WAF?

Web Application Firewall(web应用防火墙),一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。

基本可以分为以下4种

软件型WAF

以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上是否有webshell,是否有文件被创建等。

这个就是软件直接安装到服务器上的,比较容易理解

硬件型WAF

以硬件形式部署在链路中,支持多种部署方式。当串联到链路上时可以拦截恶意流量,在旁路监听模式时只记录攻击但是不进行拦截。

这个硬件的一般是企业购买,直接是个机器弄到机房,把接口插上就可以使用的那种

云 WAF

一般以反向代理的形式工作,通过配置后,使对网站的请求数据优先经过WAF主机,在WAF主机对数据进行过滤后再传给服务器

这个一般是云服务器上面的WAF,购买之后也不需要咱做什么,它自己就会对购买的服务器开启保护了。

网站内置的WAF

就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的

这个就相当于是网站自身代码的过滤,也可以说是WAF

2、如何判断WAF?

Wafw00f,看图识别,其他项目脚本平台

看图识WAF-搜集常见WAF拦截页面

3、常见WAF拓扑&防护?

4、目前有哪些常见WAF产品?

参考:https://blog.csdn.net/w2sft/article/details/104533082/

① 硬件型

硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。

② 软件型

这种类型的WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、ShareWAF、安全狗等。

③ 云WAF

随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。阿里云、腾讯云、深信服云WAF、Imperva WAF是这类WAF的典型代表。

信息收集-被动扫描-黑暗引擎&三方接口

黑暗引擎:Fofa Quake Shodan zoomeye 0.zone等

其他接口:[~]#棱角 ::Edge.Forum*

首先我们在信息搜集的时候有主动扫描和被动扫描,这里直接扫描网站就是主动了,如果说用黑暗引擎或者第三方引擎去搜索网站信息的话,这个就被扫描了。

一般主动扫描会被拦截,因此我们可以采用被动扫描,这里被动扫描不止黑暗引擎,还有其他第三方接口

这个第三方接口就比如棱角社区里面信息搜集的一堆东西,都属于被动扫描的第三方接口。

信息收集-目录扫描-Python代理加载脚本

#信息收集常见检测:

1、脚本或工具速度流量快

2、脚本或工具的指纹被识别

3、脚本或工具的检测Payload

#信息收集常见方法:

1、延迟:解决请求过快封IP的情况

2、代理池:在确保速度的情况下解决请求过快封IP的拦截

3、白名单:模拟白名单模拟WAF授权测试,解决速度及测试拦截

4、模拟用户:模拟真实用户数据包请求探针,解决WAF指纹识别

我们讲解的背景是宝塔上面的WAF,由于搞这个WAF需要花六十多去买,这里我就不再买,用小迪的图了

这里可以看到由于扫描工具的多次扫描导致IP被封,封锁原因就是多次恶意请求。

这个多次恶意请求其实就是CC攻击,这里也可以看到CC防御规则里面就有,如果在一分钟之内请求了120次就会封300秒

所以第一个绕过方法就是延时扫描,但是用这个延时扫描之后虽然不会被检测了,但速度也会很慢。

第二个方法就是使用代理池了,就比如这个快代理,我们可以购买隧道代理,这个并发请求输就是一秒钟5次,每次请求就会变换IP。所以如果IP被封了也不用怕,因为有代理池,访问目标网站的的IP一直在变,封也没事。

购买完之后呢,我们就得到了隧道代理。这个也有免费的,但是免费的不稳定,可能用着用着代理就掉了

接下来直接利用全局代理工具proxifier使用这个代理即可。

把扫描工具7kbscan添加进去即可。

这个时候我们就可以正常扫描了,这个时候我们再看拦截日志会发现有很多IP都被封了,但是不影响我们的扫描,因为IP一直在变换。

但是我们使用了代理池之后还是不能扫描到一些目录。这就是因为对方的WAF判断扫描工具发出的请求包不像是认为发送的,所以就没有目录给遍历出来。

这个时候我们就可以利用第三种方法了,就是利用白名单了

从下图可以看到,有IP白名单,URL白名单,UA白名单。只要是在这个白名单里面的去访问请求就一定不会被拦截,我们能够利用的应该就只有UA白名单了,因为其他两个想利用不太现实,咱怎么可能知道里面有啥IP和URL

这里我们利用安全狗的白名单来掩饰,可以看到百度的UA头是在里面的,我们就可以设置UA头为百度的,然后再去目录遍历

这里利用FOFA搜到了一个用安全狗的网站,我们直接用工具去目录遍历的时候是不行的,会被安全狗拦截

这里我们上网上搜一下百度的UA头

直接把UA头粘贴到左边,然后进行扫描,还是可以正常扫描,并且网站没有封我的IP

当我们不换UA头的时候就会发现网站提示拦截了,扫描也扫不了了。

但是这里还是没有扫到什么东西,因此还是需要用手写的脚本,模拟真实用户去访问

这里可以自定义数据包,并且这里还可以使用代理,也是比较方便的。

信息收集-工具扫描-Awvs&Xray&Goby内置

Awvs-设置速度&加入代理

Xray-配置修改&进程转发

Goby-配置加入Socket代理

首先就是AWVS设置速度和使用代理,看图就知道了,没啥说的

Xray的有两种方法,因为他没有图形化界面,所以我们可以修改配置文件,把代理ip和端口加进去。

第二个就是使用proxifier,然后把xray这个应用程序添加进去即可。

Goby这个也是可以设置Socks代理的

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaopeisec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值