首先感谢兄弟们的支持与关注,我们的成长离不开您的陪伴
在我们做项目的途中经常会遇到各种各样的waf,防火墙等来拦截我们的payload,这很是让渗透测试人员头疼,其实网上就有很多关于waf绕过原理的文章,这篇文章就是想告诉大家,当大家理解了网上关于waf绕过的文章的内容并对其原理了解后,其实把理论深化进实践中并没有多困难,本篇文章就是将一个简单常规的小思路实践了一下,便成功绕过了D盾的waf
关于sql注入的waf绕过,说白了就是通过混淆你的sql语句,让他以另外一种方式呈现出来,以绕过waf的黑名单正则匹配,关于sql注入waf绕过的原理在这篇文章里不再重复,我们直接来看实例,分享一种bypass D盾的方法,这里直接贴上tamper。
话不多说,来看代码:
#!/usr/bin/env pythonfrom lib.core.enums import PRIORITY__priority__ = PRIORITY.LOWdef dependencies(): passdef tamper(payload, **kwargs): """ BYPASS Ddun """