Web应用程序waf指纹识别工具wafw00f的安装及使用

发布于 2020-12-16  780 次阅读


0x00 原理:

  • 发送正常的 HTTP请求并分析响应;这确定了许多WAF解决方案。
  • 如果不成功,则发送多个(可能是恶意的)HTTP请求,并使用简单的逻辑来取代它是其中WAF。
  • 如果还是不成功,则分析先前回复的响应,并使用另一种简单算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击。

github地址:https://github.com/EnableSecurity/wafw00f

官方使用文档:https://github.com/enablesecurity/wafw00f/wiki

0x01 安装:

脚本基于python3,所以要先配置安装该环境

windows

第一种:

环境:python3环境 --->使用 pip install wafw00f 进行安装

安装成功后目录:python安装目录中的Lib\site-packages\wafw00f--->例如:C:\Python37\Lib\site-packages\wafw00f

验证:cd到C:\Python37\Lib\site-packages\wafw00f目录中,输入python main.py  如下图说明安装成功

第二种

通过github直接下载压缩包,先将wafw00f下载到本地

然后cmd进入到该解压后的目录,执行命令:python -setup.py install

等待片刻就能完成,然后cd 到wafw00f目录,执行命令python main.py  如下图说明安装成功

0x02 Linux

将压缩包下载解压,然后cd到该目录下,执行命令:python setup.py install。。。其实跟Windows下没区别

0x03使用

windows命令窗口中cd到wafw00f目录中:

查看帮助信息:python main.py --help

查看wafw00f能探测那些防火墙:

执行:python main.py  -l   如图列出防火墙

探测web站是否存在waf

例1:https://www.wuyini.cn    (本网站存在waf)

执行:python main.py  https://www.wuyini.cn

 例2:https://www.baidu.com  (百度肯定有waf)

 例3:http://192.168.10.7:85   (本地靶场不存在waf)


一个热爱技术的白帽子