焚靖:自动化绕过WAF的利器
Fenjing项目地址:https://gitcode.com/gh_mirrors/fe/Fenjing
在网络安全的世界里,WAF(Web应用防火墙)是保护网站免受恶意攻击的重要防线。然而,对于CTF(Capture The Flag)比赛中的参赛者来说,绕过WAF进行攻击是一项极具挑战性的任务。今天,我们要介绍的“焚靖”项目,就是一款专为CTF比赛中Jinja SSTI(服务器端模板注入)绕过WAF而设计的高效自动化脚本。
项目介绍
“焚靖”是一个全自动的脚本工具,旨在帮助CTF参赛者快速绕过WAF,对目标网站或接口进行攻击。它集成了大量的WAF绕过技巧,能够自动爆破API参数并生成相应的payload,大大节省了手动测试接口和fuzz题目WAF的时间。
项目技术分析
“焚靖”项目的技术实现非常精妙。它通过分析网站的WAF规则,自动生成能够绕过这些规则的payload。支持的绕过规则包括关键字符绕过、自然数绕过、'%c'绕过、下划线绕过以及任意字符串绕过等。此外,项目还支持将payload放入GET参数中提交,有效降低payload长度,提高攻击效率。
项目及技术应用场景
“焚靖”适用于以下场景:
- CTF比赛:在CTF比赛中,参赛者可以使用“焚靖”快速绕过WAF,对目标进行攻击,获取flag。
- 安全测试:安全工程师可以使用“焚靖”对网站进行渗透测试,评估网站的安全性。
- 教育培训:网络安全教育培训机构可以使用“焚靖”作为教学工具,帮助学生理解WAF绕过的原理和方法。
项目特点
“焚靖”项目具有以下特点:
- 全自动化:自动分析网站的WAF并生成相应的payload,无需手动干预。
- 高效快速:集成了大量的WAF绕过技巧,能够快速生成有效的payload。
- 灵活多样:支持多种攻击方式,包括攻击HTML表单、HTTP路径等。
- 易于使用:提供命令行和Web UI两种使用方式,操作简单方便。
安装与使用
“焚靖”的安装和使用非常简单。你可以通过pipx、pip或Docker进行安装。以下是使用pipx安装的示例:
# 首先使用apt/dnf/pip/...安装pipx
#pip install pipx
# 然后用pipx自动创建独立的虚拟环境并进行安装
pipx install fenjing
fenjing webui
# fenjing scan --url 'http://xxxx:xxx'
启动Web UI后,你可以在界面中输入参数并点击开始分析,然后在右边输入命令即可。此外,“焚靖”还提供了scan、crack、crack-request等多种功能,满足不同的攻击需求。
结语
“焚靖”项目是一个强大而灵活的自动化WAF绕过工具,适用于CTF比赛、安全测试和教育培训等多种场景。如果你是一名网络安全爱好者或专业人士,不妨尝试一下“焚靖”,它将为你带来全新的攻击体验。
扫一扫
1270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
