其他分享
首页 > 其他分享> > 记一次waf绕过实战

记一次waf绕过实战

作者:互联网

在一次渗透测试中,网站使用的是域名进行访问。当我尝试进行一些攻击行为时,发现存在waf,我的行为被进行了拦截,实在头疼

此时,我猜想此网站应该是使用了云waf,接着我对域名进行全球ping检测,发现解析出来的ip超过1个,该网站使用了CDN

 接下来,进行寻找真实ip。我借助fofa工具。

1. 首先我将网站的title信息进行复制

 2. 使用fofa搜索 title="xx登录"

如下,有几个搜索结果。其中一个域名就是我的目标站点,下面存在对应的ip地址。但是我不知道该ip是不是网站的真实ip,于是我使用该ip进行访问,发现网站进行了一个重定向跳转到域名中。于是我不直接访问ip而是将用域名访问后的网站将域名该为ip,网站成功不进行跳转

此时,继续测试的时候,发现已经绕过了云waf。不再进行拦截,接下的测试就可以很愉快的进行了。

 传送门 ——> 关于CDN以及如何绕过CDN寻找真实ip

标签:实战,网站,waf,CDN,域名,ip,绕过,进行
来源: https://blog.csdn.net/qq_44159028/article/details/122409026