焚靖:自动化绕过WAF的利器
Fenjing项目地址:https://gitcode.com/gh_mirrors/fe/Fenjing
在网络安全的世界里,WAF(Web应用防火墙)是保护网站免受恶意攻击的重要防线。然而,在CTF比赛中,如何巧妙地绕过WAF成为了一项挑战。今天,我们要介绍的是一款名为“焚靖”的开源项目,它能够帮助你在不了解具体WAF规则的情况下,自动化地绕过WAF,实现对目标网站的攻击。
项目介绍
“焚靖”是一个针对CTF比赛中Jinja SSTI(服务器端模板注入)绕过WAF的全自动脚本。它能够自动攻击给定的网站或接口,大大节省了手动测试接口和fuzz题目WAF的时间。通过集成大部分CTF中的SSTI WAF绕过技巧,焚靖能够全自动爆破API参数并攻击,全自动分析网站的WAF并生成相应的payload。
项目技术分析
焚靖项目的技术实现非常精妙,它通过以下几个关键特性来实现自动化绕过WAF:
- 全自动爆破API参数并攻击:焚靖能够自动猜测并测试API参数,从而找到可利用的漏洞点。
- 全自动分析网站的WAF并生成相应的payload:通过分析WAF的行为,焚靖能够生成绕过WAF的payload。
- 支持攻击对应的HTML表单或HTTP路径:无论是表单提交还是直接的HTTP路径,焚靖都能应对自如。
- 支持将payload放进GET参数中提交,有效降低payload长度:这一特性使得payload更加隐蔽,难以被WAF检测到。
- 自动检测关键字替换并绕过:焚靖能够识别并绕过WAF的关键字替换策略。
项目及技术应用场景
焚靖的应用场景主要集中在CTF比赛和网络安全研究中。在CTF比赛中,选手可以利用焚靖快速找到并利用SSTI漏洞,节省宝贵的时间。在网络安全研究中,研究人员可以使用焚靖来测试和验证WAF的有效性,从而提高网站的安全性。
项目特点
焚靖的主要特点可以总结为以下几点:
- 自动化程度高:从参数爆破到payload生成,全程自动化,无需人工干预。
- 绕过技巧全面:集成了大部分CTF中的SSTI WAF绕过技巧,覆盖面广。
- 使用灵活:支持多种攻击模式,包括webui、scan、crack等,满足不同场景的需求。
- 易于安装和使用:提供pipx、pip和docker三种安装方式,用户可以根据自己的喜好选择。
结语
焚靖作为一款开源项目,不仅为CTF选手提供了强大的工具,也为网络安全研究人员提供了宝贵的资源。它的出现,无疑将推动网络安全技术的发展,帮助我们更好地理解和应对WAF的挑战。如果你对网络安全感兴趣,或者正在参加CTF比赛,不妨试试焚靖,它可能会成为你的得力助手。
如果你对焚靖感兴趣,可以访问其GitHub仓库获取更多信息和详细的使用指南。