web滲透測試中WAF繞過講解（一）

---恢復內容開始---

0x01 前言

        許多Hacker總是生存在與WAF的不斷抗爭之中的，廠商不斷過濾，Hacker不斷的騷操作繞過。WAF與Hacker總是在斗智斗勇，經過長時間的發展，近年越來越多的Hacker投入到與WAF進行對抗，相對應的繞過方法也被大量的暴露出來，筆者今日就先進行個小小的科普先來說說WAF是什么。

0x02 什么是WAF？

        簡單的來說它是一個Web應用程序防火牆他的功能是執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

0x03 國內常見的WAF

        360網站衛士
        百度雲加速
        D盾
        阿里雲雲盾
        安全寶
        安全狗
        護衛神
        雲鎖

0x04 針對CDN類型的WAF繞過

        首先我們要知道 CDN 是什么，這里直接百度復制。
        CDN的全稱是Content Delivery Network，即內容分發網絡。其基本思路是盡可能避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節，使內容傳輸的更快、更穩定。通過在網絡各處放置節點服務器所構成的在現有的互聯網基礎之上的一層智能虛擬網絡，CDN系統能夠實時地根據網絡流量和各節點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節點上。其目的是使用戶可就近取得所需內容，解決 Internet網絡擁擠的狀況，提高用戶訪問網站的響應速度。
        目前CDN服務的功能是越來越多，安全性也越加強悍，用戶的每個請求都會被發送到指定的CDN節點上，最后轉發給真實站點。這個過程提供了緩存、加速、防御的特點。

        方法一： #二級域名法#
        目標站點一般不會把所有的二級域名放cdn上，比如試驗性質地二級域名。
Google site一下目標的域名，看有沒有二級域名出現，挨個排查，確定了沒使用cdn的二級域名后，本地將目標域名綁定到同ip，能訪問就說明目標站與此二級域名在同一個服務器上。不在同一服務器也可能在同C段，掃描C段所有開80端口的ip，挨個試。如果google搜不到也不代表沒有，我們拿常見的二級域名構造一個字典，猜出它的二級域名。比如mail、cache、img。
例子：Google網站下    輸入 site:baidu.com  搜索出所有帶baidu.com的域名
也可以使用 Layer子域名挖掘機 工具來跑二級域名(工具會放在百度雲中供下載）
下載地址：http://pan.baidu.com/s/1pKGnPZd

        方法二：#多地點ping法#
        ping 命令這樣寫 ping xxxx.com 而不是 ping www. xxxx .com，ping xxxx.com一般都會是真實IP,有一些CDN廠商基本只要求把 www. xxxx .com cname到cdn主服務器上去。www.xxx.com 和 xxx.com 是兩條獨立的解析記錄。
        #在線的利用工具#
                國內ping的工具：http://ping.chinaz.com/
                國外ping的工具：https://asm.ca.com/zh_cn/ping.php (推薦用這個)
                國外ping的工具：https://asm.ca.com/en/ping.php (第二個掛了用這個,不然就搜索 just-ping)

        方法三：#nslookup法#
        大部分CDN提供商只針對國內市場，而對國外市場幾乎是不做CDN，所以有很大的幾率會直接解析到真實IP。其實這個方法根本不用上國外vpn，因為你上國外vpn的ping本質，就是使用國外dns(那台vpn服務器使用的dns)查詢域名而已，所以只需要：nslookup http://xxx.com 國外dns，就行了，例如：nslookup http://xxx.com 8.8.8.8，提示：你要找冷門國外DNS才行，像谷歌的DNS，國內用的人越來越多了，很多CDN提供商都把谷歌DNS作為國內市場之一，所以，你查到的結果會和國內差不了多少
        如何用本地計算機查詢DNS記錄?
        打開命令提示符窗口(開始--運行---輸入CMD--回車)
        nslookup的語法為：nslookup –qt=類型 目標域名(注意qt必須小寫)
        類型主要有:
        A：地址記錄(Ipv4)
        AAAA：地址記錄（Ipv6）
        CNAME：別名記錄
        HINFO：硬件配置記錄，包括CPU、操作系統信息
        ISDN：域名對應的
        ISDN：號碼
        MB：存放指定郵箱的服務器
        MG：郵件組記錄
        MINFO：郵件組和郵箱的信息記錄
        MR：改名的郵箱記錄
        MX：郵件服務器記錄
        NS：名字服務器記錄
        PTR：反向記錄
        RP：負責人記錄
        SRV TCP：服務器信息記錄
        TXT：域名對應的文本信息
        比如你要查詢baidu.com的A記錄,那在命令符提示窗口輸入：nslookup -qt=a baidu.com 則可以查到相應的記錄
        如何使用指定DNS服務器查詢?
        語法為: nslookup -qt=類型 目標域名 指定的DNS服務器IP或域名
        例子：nslookup -qt=A tool.chinaz.com 8.8.8.8
        #在線的利用工具#
                站長工具：http://tool.chinaz.com/nslookup/

        方法四：#查詢域名歷史DNS解析#
        指的是查找域名歷史解析記錄，因為域名在上CDN之前用的IP，很有可能就是CDN的真實源IP地址，有個專門的網站提供域名解析歷史記錄查詢
        #在線的利用工具#
                工具一：https://dnsdb.io/zh-cn/
                工具二：http://history.tool.cc/whois/
                工具三：http://viewdns.info/iphistory/?domain=要查詢的域名地址

        方法五：#查找phpinfo#
        這個要看運氣找到phpinfo的時候查看里面的SERVER_NAME即可知道真實IP

        方法六：#膽大有錢才能做#
        免費CDN，一般防御也就送免費的幾十G，直接DDOS沖cdn打，把CDN流量打完，自然就回源了，真實IP也就暴露出來了。

作者：PHPoop
鏈接：http://www.jianshu.com/p/64fe002bf0b3
來源：簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。

 

---恢復內容結束---