记一次waf绕过实战

在一次渗透测试中，网站使用的是域名进行访问。当我尝试进行一些攻击行为时，发现存在waf，我的行为被进行了拦截，实在头疼

此时，我猜想此网站应该是使用了云waf，接着我对域名进行全球ping检测，发现解析出来的ip超过1个，该网站使用了CDN

 接下来，进行寻找真实ip。我借助fofa工具。

1. 首先我将网站的title信息进行复制

 2. 使用fofa搜索 title="xx登录"

如下，有几个搜索结果。其中一个域名就是我的目标站点，下面存在对应的ip地址。但是我不知道该ip是不是网站的真实ip，于是我使用该ip进行访问，发现网站进行了一个重定向跳转到域名中。于是我不直接访问ip而是将用域名访问后的网站将域名该为ip，网站成功不进行跳转

此时，继续测试的时候，发现已经绕过了云waf。不再进行拦截，接下的测试就可以很愉快的进行了。

 传送门 ——> 关于CDN以及如何绕过CDN寻找真实ip

标签：实战,网站,waf,CDN,域名,ip,绕过,进行
来源： https://blog.csdn.net/qq_44159028/article/details/122409026