WAF自动化暴破(绕过)脚本xwaf

[[184595]]

xwaf

xwaf是一个python写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,自动暴破waf

Disclaimer

  1. [!] legal disclaimer: Usage of 3xp10it.py and web.py for attacking targets without prior mutual consent is  
  2. illegal.It is the end user's responsibility to obey all applicable local, state and federal laws.Developers  
  3. assume no liability and are not responsible for any misuse or damage caused by this program. 

Requirement

  1. python3 
  2. pip3 
  3. works on linux(test on ubuntu and kali2.0,others not test) 
  4.  
  5. python3安装可参考如下步骤: 
  6.     apt-get install python3 
  7.     或: 
  8.     wget https://www.python.org/ftp/python/3.5.2/Python-3.5.2.tar.xz 
  9.     tar xJf Python-3.5.2.tar.xz 
  10.     cd Python-3.5.2 
  11.     ./configure --prefix=/opt/python3 
  12.     make && make install 
  13.     ln -s /opt/python3/bin/python3.5 /usr/local/bin/python3 
  14.  
  15. pip3安装: 
  16. apt-get install -y python3-pip 
  17.  
  18. kali linux2安装pip3可参考如下步骤: 
  19.     echo "deb-src http://http.kali.org/kali kali main non-free contrib" >> /etc/apt/sources.list 
  20.     echo "deb-src http://security.kali.org/kali-security kali/updates main contrib non-free" >> /etc/apt/sources.list 
  21.     apt-get update 
  22.     apt-get install python3-pip 

Usage

  1. eg: 
  2.  
  3. python3 xwaf.py -u "http://www.baidu.com/1.php?id=1"  
  4. python3 xwaf.py -u "http://www.baidu.com/1.php" --data="postdata" -p xxx  
  5. python3 xwaf.py -r /tmp/headerfile -p xxx --level 5 

Attention

1.xwaf支持除-m/-l外的所有sqlmap参数,用法和sqlmap一样即可,-m/-l为批量功能,暂不支持,如果需要批量,请自行code实现

2.由于xwaf已经有比较好的参数方案,一般情况下尽量少用参数,如果有必须要用的参数除外[如–data/-p/-r等参数]

3.普通get类型注入点,这样用即可:

python3 xwaf.py -u “http://www.baidu.com/1.php?id=1&page=2” -p id

4.人工输入的参数的优先级大于xwaf自带的参数方案

5.关于–tamper参数的使用:

xwaf的主要功能是排列组合使用所有可能的tamper组合来爆破waf,如果人为使用了–tamper参数,xwaf将在人为设置的已有

tamper基础上再排列组合,eg.人为使用的命令为:

python3 xwaf.py -u “http://www.baidu.com/1.php?id=1” –tamper=space2comment

那么xwaf使用的tamper方案中的每个都会有space2comment

6.关于代理的使用:

a)xwaf默认不用代理,如果使用代理需要在xwaf运行后选择y|Y

b)使用的代理来源于程序自动收集的网上的代理

c)使用代理有防封的优点,但网络连接速度不一定能保证

7.need python3

代码流程图

以[127.0.0.1/1.php?id=1为例]

1.start

2.检测系统/root/.sqlmap/output/127.0.0.1/log文件是否存在

3.获取log文件:

如果不存在log文件则调用get_log_file_need_tamper函数,执行完这个函数后获得log文件,也即成功检测出目标

url有sqli注入漏洞,如果执行完get_log_file_need_tamper函数没有获得log文件则认为该url没有sqli漏洞

4.获取db_type[数据库类型]

调用get_db_type_need_tamper函数,用于后面的tamper排列组合时,只将目标url对应的数据库类型的tamper用于

该目标在sql注入时tamper的选择后的组合

5.获取sqli_type[注入方法]

调用get_good_sqli_type_need_tamper函数,sql注入方法中一共有U|S|E+B|Q|T 6种注入方法,后3种查询效率低,

首先在log文件中查找是否有U|S|E这3种高效方法中的任意一种,如果有略过这一步,否则执行

get_good_sqli_type_need_tamper函数,执行该函数将尝试获得一种以上的高效注入方法

6.获取current-db[当前数据库名]

如果上面获得了高效注入方法,则先用高效注入方法获得current-db,如果没有则用B|Q|T方法尝试获得

current-db,用来尝试获得current-db的函数是get_db_name_need_tamper

7.获取table[当前数据库的表名]

如果上面获得了高效注入方法,则先用高效注入方法获得table,如果没有则用B|Q|T方法尝试获得table,尝试获得

table的函数是get_table_name_need_tamper

8.获取column[当前数据库的***个表的所有列名]

如果上面获得了高效注入方法,则先用高效注入方法获得column,如果没有则用B|Q|T方法获得column,尝试获得

column的函数是get_column_name_need_tamper

9.获取entries[column对应的真实数据]

调用get_entries_need_tamper函数,执行完get_entries_need_tamper函数后,waf成功绕过,从上面的步骤一直到

这个步骤,逐步获得***绕过waf的脚本组合

About

1.xwaf支持记忆,运行中断后下次继续运行时会在中断时的***一个命令附近继续跑,不会重新经历上面的所有函数的处理

2.xwaf支持sqlmap除-m/-l外的所有参数用法

3.各个get_xxx_need_tamper函数的处理采用针对当前url的数据库类型(eg.MySQL)的所有过waf的脚本

(在sqlmap的tamper目录中)的排列组合的结果与–hex或–no-cast选项进行暴力破解如果–hex起作用了则不再使用

–no-cast尝试,–no-cast起作用了也不再用–hex尝试

4.xwaf运行完后将在/root/.sqlmap/output/127.0.0.1目录下的ini文件中看到相关信息,bypassed_command是成功暴破

waf的sqlmap语句

5.在tamper组合中,先用到的tamper会加入到上面的ini文件中,在以后的每个tamper组合中,综合已经得到的有用的

tamper再组合,在上面的ini文件中的tamper_list即为不断完善的tamper组合

6.支持自动更新升级,当前版本为1.1

Changelog

[2017-02-13]

更新支持代替sqlmap跑普通没有waf的注入点,之前版本要求只能跑有waf的注入点

[2017-02-13]

更新支持自动进行版本升级

[2017-02-12]

更新支持所有sqlmap参数

[2017-01-18]

fix line128处的slef改成self

fix line128处的db_name未定义错误

[2016-11-15]

修复一处ACCESS数据库考虑不周全判断和几处good_print函数调用错误

增加支持代理自动切换功能,自选,默认不用代理[用代理速度较慢]

[2016-11-02]

增加access数据库特殊性的处理gg

[2016-11-01]

get_db_type_need_tamper之后的数据库类型获取由之前的get_db_type_from_log_file改成

eval(get_key_value_from_config_file(self.log_config_file,’default’,’db_type’))

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/128438.html<

(0)
管理的头像管理
上一篇2025-02-25 03:44
下一篇 2025-02-25 03:46

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注