1.前言
这篇文章主要是将介绍在进行信息收集或者漏洞扫描等情况下,被WAF拦截了怎么办?被封锁IP了怎么办?
可能更多的是被封锁IP,至于被WAF拦截,拦截的更多情况下是payload或者POC被拦截了。
2.WAF简介
2.1.WAF介绍
Web Application Firewall(web 应用防火墙),一种公认的说法是“web 应用防火墙”通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 web 应用提供保护的一款产品。
2.1.1.软件型WAF
以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上是否有 webshell,是否有文件被创建等。
例如:D盾、安全狗、宝塔等。
2.1.2.硬件型WAF
以硬件形式部署在链路中,支持多种部署方式。当串联到链路上时可以拦截恶意流量,在旁路监听模式时只记录攻击但是不进行拦截。
例如:各厂家的硬件WAF,如启明、深信服、网御、奇安信、天融信等。
2.1.3.云WAF
一般以反向代理的形式工作,通过配置后,使对网站的请求数据优先经过 WAF 主机,在WAF 主机对数据进行过滤后再传给服务器。
例如:阿里云、腾讯云等。
2.1.4.网站内置的WAF
一般是网站内置的检测,如在代码中设置的白名单黑名单自行检测的这些代码,就如同内置的WAF。
2.2.如何判断WAF
这里借鉴一位老哥的公众号上的“看图识WAF—搜集常见的WAF拦截页面”的文章。
文章链接:看图识WAF
同时这里为了以防老哥的文章被删除,这里我就复制一下,如果不给复制,联系我删除哦,我主要是做一个笔记。
同时这里我也就列举一下,页面中不会显示名字的WAF拦截提升,有名字提示的WAF,想必各位都不需要介绍了,直接就可以根据名字去搜索了,同时需要注意的是文章是2020年的,不能保障目前最新的页面情况。
2.2.1.护卫神
2.2.2.智创防火墙
2.2.3.360主机卫士或360webscan
2.2.4.Naxsi WAF
2.2.5.腾讯云
腾讯云这里,我记得好像变了,不是这样了。
2.2.6.华为云
2.2.7.网宿云
3.信息收集
这里演示使用扫目录来进行演示,其它的都是差不多的,在信息收集的时候,除了有些硬性的收集可以使用外部的方式来解决,比如子域名可以使用在线的子域名收集、端口收集可以使用一些在线的端口收集或者手动去扫描,但是像目录这类多数都需要使用本地的字典来扫描。
所以就会出现被WAF拦截,该拦截基本上是直接就锁IP。
3.1.信息收集常见拦截情况
扫描工具发包的流量或速度太快,然后被拦截。
扫描工具的指纹被识别,然后被拦截。
扫描工具的payload或者POC被拦截。
3.2.解决拦截情况
3.2.1.延迟
解决请求过快被封IP的情况,这个有一个缺点就是,假如一个网站原来100秒能把1000个目录扫完,如果你设置延迟2秒,相当于你扫一个目录后,就要延迟2秒扫下一个,基本上原来100秒,现在变成2000秒+。
3.2.2.代理池
代理池就是在确保扫描速度过快情况下解决被封IP的情况,通过不断变化的IP来对目标的信息进行收集。
3.2.3.白名单
白名单简单来说就是模拟WAF授权的测试,解决速度过快以及测试的拦截,例如安全狗存在白名单,是为了让百度等爬虫进行网站的权重,所以是被加入白名单的,那么就可以模拟这些爬虫头来进行过WAF。
3.3.扫描方式
3.3.1.主动扫描
主动扫描就是你对目标系统发起的扫描,比如:使用御剑对目标进行目录扫描、AWVS对目标进行漏洞扫描、Nmap对目标进行端口扫描,这些都是归类在目标扫描。
3.3.2.被动扫描
被动扫描就是通过如FOFA、shodan等进行获取相关的信息,这类就是属于被动扫描。
其它接口:社区工具
4.目录扫描
这里其它的扫描方式我就不演示了,这里只演示一个目录扫描,其它的方式都是一样的,比如漏洞扫描、端口扫描、密码爆破等都是一样的。同时这里只演示怎么配置这个代理池绕过,不具体的演示效果,其实也是截图,演示了具体的效果也看不出来,而且我的云服务器好像还有点小问题,宝塔还要开花钱买…
4.1.延迟扫描
所谓的延迟扫描,就是像之前提到的,通过降低访问来控制扫描,避免因为一秒多次访问被拦截的情况。
4.1.1.未开延迟扫描
可能有点看不清,非常的快,基本上就是一瞬间。
4.1.2.开了延迟扫描
这里可能靠截图看不出来什么,但是我在截图的时候就能感觉到了,上面未开延迟扫描,基本上关闭截不到图,开了延迟扫描,我能截到图片了。
4.2.代理池介绍
采用代理池就是当你个人的IP被封了的时候,自动换一个IP扫描,但是代理池默认情况下,看购买的情况,通常都是扫一下换一个IP,这样就算拦截了,还会有下一个IP进行扫描,这就是代理池。
代理池连接:快代理
关于代理池配置这里,我没用外网地址演示,这里我就模拟一个把,我截个网上的图片来介绍一下。
隧道Host:就是隧道地址。
http端口:就是端口。
Socks端口:就是根据工具请求的不同来配置的,后续会提到。
4.2.1.代理池配置
这里又分为能在扫描器或者软件中直接设置代理的,还有一种就是需要使用第三方来辅助才能够实现代理池扫描的。
这里就需要使用到一款工具为Proxifier的工具,这个工具可以使无法自定义设置代理的工具进行代理访问。
这里统一一下,由于我并没有买代理池,虽然不是太贵,但是就不买了,直接假设一下。
以下为假设,上面图片的内容也是假的,不可能还能用的。
隧道Host:aaa.aaa.com
http端口:7788
Socks端口:17788
4.2.2.Proxifier工具配置
首先安装工具,这里就不说怎么安装了,就是很正常的软件安装,应该不会有人不会吧。
下载链接:Proxifier 提取码:kof5
(1)配置代理服务器,在配置文件—代理服务器中设置。
(2)点击添加,将隧道Host:aaa.aaa.com与http端口:7788填入后点击确定,代理就设置好了。
(3)检测代理服务器是否可用,点击检查按钮,由于我这里是假设的,并不能通信,所以是不通的,正常情况下,如果是正确的,出现不通就需要进行检查了。
(4)配置代理规则,这一步就是将我们所需要使用代理进行扫描的工具添加进去,让我们的工具扫描的流量走代理,而不是本地。
(5)这里首先点击添加,在添加中的应用程序位置,通过浏览找到相应的运行程序,比如我这里找一个御剑的工具来添加,然后动作位置一定要使用刚刚设置的代理,然后添加即可。
(6)到这里整体的添加都已经完成了,这里就可以使用工具测试了。当你扫描的时候这个框中就会显示流量,而我这里是由于设置的是错误代理,所以是一直报错,那么这里知道怎么配置即可。
实战中可以自行研究。
4.2.3.AWVS配置代理池
这里尴尬了,我的AWVS忘记密码了,这里我截一张图上来,看看如何配置代理池吧,配置代理池后就可以愉快的扫描了。
关于AWVS如何安装,看我的另外一篇文章。
文章链接:AWVS下载与安装
4.2.4.Goby配置代理池
Goby配置代理池需要主要,你在进行WEB扫描的时候可能会使用到http的流量代理,如果扫描端口,你会用到http的代理么?
所以这里就出现了一个问题,Goby通常都是用于内网的扫描,不像AWVS或者其它WEB漏洞扫描器,他们更多的走的流量是http的。所以需要配置http的代理,像Goby多数下可能需要配置Socks。所以这里我们都演示一下。
(1)http代理设置
(2)Socks代理设置,这里就需要将前面的代理协议修改为Socks,同时后面的端口也要修改为Socks的端口,也就是之前我们假设的17788。
4.2.5.其它扫描器代理池配置
关于其它扫描器代理池配置,这里我就不演示了,配置方式多数从官方文档中都能够寻找到,主要也是手上没有那么多的工具。
4.3.白名单
关于这个白名单,这个可能不是所有WAF中都会存在的,但是在安全狗中是存在的爬虫白名单的,爬虫白名单主要是用于百度这些网站收集目标网站信息用的,用于权重和收录,所以部分WAF上会有这个白名单。
那么我们就可以将工具的请求头修改为爬虫头就可以绕过这些限制,从而实现我们对目标信息的收集。
搜索引擎头:参考各类网站
4.3.1.AWVS配置请求头
4.3.2.其它工具修改请求头
同样其它工具修改请求头,也都可以从官方文档中寻找到,不过有些工具可能无法修改请求头,这里工具多数都是闭源的,你无从知道它请求的时候,使用的请求方式是如何的。
5.总结
如果遇到在信息收集的时候或者漏洞发现的时候出现被WAF拦截,多数都可以使用代理池进行解决。
至于你使用payload或者POC被拦截,这个如果说工具是开源的,那么你可以在工具中修改payload或者POC进行绕过,绕过说工具不是开源的,那么也是无法绕过的,至少说使用代理池,可以避免自己的IP被封,后续也会有更多的手动操作的机会。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/133392.html