记一次waf绕过实战
作者:互联网
在一次渗透测试中,网站使用的是域名进行访问。当我尝试进行一些攻击行为时,发现存在waf,我的行为被进行了拦截,实在头疼
此时,我猜想此网站应该是使用了云waf,接着我对域名进行全球ping检测,发现解析出来的ip超过1个,该网站使用了CDN
接下来,进行寻找真实ip。我借助fofa工具。
1. 首先我将网站的title信息进行复制
2. 使用fofa搜索 title="xx登录"
如下,有几个搜索结果。其中一个域名就是我的目标站点,下面存在对应的ip地址。但是我不知道该ip是不是网站的真实ip,于是我使用该ip进行访问,发现网站进行了一个重定向跳转到域名中。于是我不直接访问ip而是将用域名访问后的网站将域名该为ip,网站成功不进行跳转
此时,继续测试的时候,发现已经绕过了云waf。不再进行拦截,接下的测试就可以很愉快的进行了。
传送门 ——> 关于CDN以及如何绕过CDN寻找真实ip
标签:实战,网站,waf,CDN,域名,ip,绕过,进行 来源: https://blog.csdn.net/qq_44159028/article/details/122409026