- 当前位置:首页 >应用开发 >聊聊 Wafw00f 源码及流量特征
聊聊 Wafw00f 源码及流量特征
发布时间:2025-11-05 14:05:49 来源:码上建站 作者:IT科技类资讯
-
wafw00f介绍
这不是聊聊流量本次的重点,相关介绍及使用方法相信大家已经了解,码及所以此处就直接引用其开发者对该工具的特征介绍。
To do 聊聊流量its magic, WAFW00F does the following:
Sends a normal HTTP request and analyses the response; this identifies a number of WAF solutions.通过发送正常的HTTP请求并且分析其返回包,判断其是码及否使用 WAF ,若使用确认WAF类型If that is 特征not successful, it sends a number of (potentially malicious) HTTP requests and uses simple logic to deduce which WAF it is.若是无法通过正常的HTTP请求结果分析出是否使用WAF以及其类型,则构造恶意的聊聊流量请求通过简单的逻辑再次进行判断If that is also not successful, it analyses the responses previously returned and uses another simple algorithm to guess if a WAF or security solution is actively responding to our attacks.如果这也不成功,它会分析之前返回的码及响应,并使用另一种简单的特征算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击使用场景/方法这不是本次的重点,想要具体了解其用法去其github主页即可
https://github.com/EnableSecurity/wafw00f
本工具的聊聊流量作用上面已经很详细的描述出来了,概括一下很简单:探测目标是码及否存在WAF,也可以说wafw00f是特征一个Web应用防火墙(WAF)指纹识别的工具。
使用方法不难,香港云服务器聊聊流量此处不做介绍,码及若想进一步了解见:WEB 防火墙探测工具 -- wafw00f 使用教程 - General 的特征个人博客
wafw00f 源码解析所谓源码解析并不会完整分析其源码中的所有功能,比如 日志、输出、展示 等功能不在我们分析的范围内,而其对 WAF 的检测逻辑、所发流量的特征、WAF 识别的指纹等将是重点要分析的地方。
流程:
解析源码含义,分析特征抓包观察源码文件结构为了方便大家之后去看源码,此处简单描述一下源码的组成,其中没有描述的说明其用不大,大家自己去看就知道了,其中标注important是本工具的主要功能文件,后续将重点说明。
asciiarts.py
evillib.py用于向目标建立连接发起请求( important )
plugins用于判断各个WAF的指纹 ( important )aliyundun.py阿里云盾的特征值匹配文件
huaweicloud.py****华为云的特征值匹配文件
baidu.py百度云加速的特征匹配文件
……
还有很多特征文件大家自己去看就好
__init__.pymain.py该工具主要的检测、服务器租用判断功能的类与函数都在该文件中实现( important )manager.py加载plugins中的WAF指纹判断文件识别目标WAF类型wafprio.py上述非important的文件起到的作用多是一些起到 输出选项、连接 等功能的文件/函数,所以不做特殊介绍
基本流程请求的流程并不复杂,和最开始介绍处的流程如出一辙:
发送正常HTTP请求,并判断是否存在WAF若存在根据指纹判断其类型若正常HTTP检测不出WAF,则附加恶意的请求尝试出发WAF并分析其类型最后所谓的根据算法猜测,流量特征不明显,不在此次分析的范围内,实际用处也不大。
请求运行流程( important)以第一次的正常HTTP请求探测为例(其余的都一致)。
由于对 Python 并不是太了解,所以作用域的表示采用了C++中的::(若是不对请及时指出会做更改)。
main.py分析完整的源码就不放在这占地方了,大家随时可到其github主页获取,云服务器提供商此处直接分析其重点部分
由上述流程可以看出,所有的请求均是从class WAFW00F中发起,所以该类就是我们分析的重中之重!
请求的具体实现(比如请求中携带了哪些内容)将在分析evillib.py文件是分析,此处主要分析何时要发出何种请求。
从main()函数出发看其逻辑:(解析参数等功能将直接略过)
没有指定其余参数
对输入的URL做相关处理后放到target中传入WAFW00F进行处理复制attacker = WAFW00F(target, debuglevel=options.verbose, path=path,followredirect=options.followredirect, extraheaders=extraheaders,proxies=proxies)
# 若请求没有结果则说明目标网站或本地网络有问题
if attacker.rq is None:
log.error(Site %s appears to be down % hostname)
continue1.2.3.4.5.6. 由于第一次做的是常规探测,若此处就匹配到了WAF的指纹则输出结束即可,具体的输出等逻辑不是重点,略过;若无法分析出其是否存在WAF或匹配不出WAF则通过identwaf()函数进步拼凑恶意参数进行探测; 复制waf = attacker.identwaf(options.findall)log.info(Identified WAF: %s % waf)1.2. 进入identwaf()函数后,便会尝试匹配各个WAF的特征; 复制def identwaf(self, findall=False): detected = list() try: self.attackres = self.performCheck(self.centralAttack) except RequestBlocked:return detected
for wafvendor in self.checklist: self.log.info(Checking for %s % wafvendor) if self.wafdetections[wafvendor](self): detected.append(wafvendor) if not findall:break
self.knowledge[wafname] =detected
return detected1.2.3.4.5.6.7.8.9.10.11.12.13.14.这就是基本的流程。
解析来如果还没有确定出WAF便会进入其自己提供的一个算法,但这并不是我们对流量特征分析所要关注的地方,所以就不探讨了。
下面到了激动人心的时刻,WAFW00F类中到底是如何实现的呢?
class WAFW00F
一上来就中了大奖:
复制class WAFW00F(waftoolsengine): xsstring = <script>alert("XSS");</script> sqlistring = "UNION SELECT ALL FROM information_schema AND or SLEEP(5) or " lfistring = ../../../../etc/passwd rcestring = /bin/cat /etc/passwd; ping 127.0.0.1; curl google.com xxestring = <!ENTITY xxe SYSTEM "file:///etc/shadow">]><pwn>&hack;</pwn>1.2.3.4.5.6.7.WAFW00F这个工具所要构造拼接的恶意代码在一开始就全部列出了,而且在之后的使用中绝无变化,要构造恶意的请求就是从上述5个字符串中选择1个或多个直接使用。
可以看到改用据用于判断是否存在WAF的语句就以下五类:
XSS类 <script>alert("XSS");</script>SQL注入类 UNION SELECT ALL FROM information_schema AND or SLEEP(5) or 遍历类 ../../../../etc/passwd命令执行/拼接类 /bin/cat /etc/passwd; ping 127.0.0.1; curl google.comXXE类 <!ENTITY xxe SYSTEM "file:///etc/shadow">]><pwn>&hack;</pwn>那么有了这些语句,WAFW00F又该如何拼接呢?
复制def normalRequest(self): return self.Request()def customRequest(self, headers=None): return self.Request(headers=headers)def nonExistent(self): return self.Request(path=self.path + str(random.randrange(100, 999)) + .html)def xssAttack(self): return self.Request(path=self.path, params= {s: self.xsstring})def xxeAttack(self): return self.Request(path=self.path, params= {s: self.xxestring})def lfiAttack(self): return self.Request(path=self.path + self.lfistring)def centralAttack(self): return self.Request(path=self.path, params={a: self.xsstring, b: self.sqlistring, c: self.lfistring})def sqliAttack(self): return self.Request(path=self.path, params= {s: self.sqlistring})def oscAttack(self): return self.Request(path=self.path, params= {s: self.rcestring})1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.具体逻辑并不难理解,拿出几种几个来说一下。
1:def xssAttack(self)
复制def xssAttack(self): return self.Request(path=self.path, params= {s: self.xsstring})1.2.例如给一个简单的例子:我们传给wafw00f的URL为:http://127.0.0.1:9000则经过该参数拼接后的请求就为:
http://127.0.0.1:9000/?s=<script>alert("XSS");</script>(URL编码前 )。
2:def centralAttack(self):
复制def centralAttack(self): return self.Request(path=self.path, params={a: self.xsstring, b: self.sqlistring, c: self.lfistring})1.2.例如给一个简单的例子:我们传给wafw00f的URL为:http://127.0.0.1:9000则经过该参数拼接后的请求就为:
http://127.0.0.1:9000/?s=<script>alert("XSS");</script>&b=UNION SELECT ALL FROM information_schema AND or SLEEP(5) or &c=../../../../etc/passwd(URL编码前 )
从前面的流程可以看出,在def identwaf(self, findall=False):中调用的拼接的语句的方法就是本方法,拼接进三个语句,
其他的逻辑相同。
evillib.py分析
上面只是在上层对要拼接哪些参数进行构造,实际上组合成完整的 HTTP 报文调用requests.get()进行请求的是在该文件中。
wafw00f中若没有通过—headers指定头部的话,会使用自己默认的—headers这个默认的 headers 就定义在该文件中。
复制def_headers = {Accept : text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3, Accept-Encoding: gzip, deflate, Accept-Language: en-US,en;q=0.9, DNT : 1, # Do NotTrack request header
User-Agent : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3770.100 Safari/537.36, Upgrade-Insecure-Requests: 1#
}1.2.3.4.5.6.7.默认情况下,接下来通过requests.get()请求时便会使用该头部,
复制def Request(self, headers=None, path=None, params={}, delay=0, timeout=7): try: time.sleep(delay) if not headers: h = self.headers else: h =headers
req = requests.get(self.target, proxies=self.proxies, headers=h, timeout=timeout, allow_redirects=self.allowredir, params=params, verify=False) self.log.info(Request Succeeded) self.log.debug(Headers: %s\\n % req.headers) self.log.debug(Content: %s\\n % req.content) self.requestnumber += 1return req
except requests.exceptions.RequestException as e: self.log.error(Something went wrong %s % (e.__str__()))1.2.3.4.5.6.7.8.9.10.11.12.13.14.15. 指纹的识别拿Huawei Cloud WAF的指纹来说
复制#!/usr/bin/env python
Copyright (C) 2022, WAFW00F Developers.See the LICENSE file for copying permission.NAME = Huawei Cloud Firewall (Huawei)def is_waf(self): schemes = [# 匹配 cookie
self.matchCookie(r^HWWAFSESID=),# 匹配 header 中的 Server
self.matchHeader((Server, rHuaweiCloudWAF)),# 匹配 body
self.matchContent(rhwclouds\\.com), self.matchContent(rhws_security@) ] if any(i for i in schemes): return True return False1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.CSDN使用华为云防护
其余脚本见:wafw00f/wafw00f/plugins at master · EnableSecurity/wafw00f
wafw00f 流量
本文作者:Deutsh, 转载请注明来自FreeBuf.COM
- 德国美诺吸尘器的性能和优势(高效清洁,品质卓越,可靠耐用)
- 手把手教你分析MySQL死锁问题
- MySQL中,当update修改数据与原数据相同时会再次执行吗?
- sl域名是什么域名?有什么注册规则?
- Justniffer 是一个可用于替代 Snort 的网络协议分析器。它非常流行,可交互式地跟踪/探测一个网络连接。它能从实时环境中抓取流量,支持 “lipcap” 和 “tcpdump” 文件格式。它可以帮助用户分析一个用 wireshark 难以抓包的复杂网络。尤其是它可以有效的帮助你分析应用层流量,能提取类似图像、脚本、HTML 等 http 内容。Justniffer 有助于理解不同组件之间是如何通信的。功能Justniffer 可以收集一个复杂网络的所有流量而不影响系统性能,这是Justniffer 的一个优势,它还可以保存日志用于之后的分析,Justniffer 其它一些重要功能包括:1.可靠的 TCP 流重建它可以使用主机 Linux 内核的一部分用于记录并重现 TCP 片段和 IP 片段。2.日志保存日志用于之后的分析,并能自定义保存内容和时间。3.可扩展可以通过外部的 python、 perl 和 bash 脚本扩展来从分析报告中获取一些额外的结果。4.性能管理基于连接时间、关闭时间、响应时间或请求时间等提取信息。安装Justniffer 可以通过 PPA 安装:运行下面命令添加库:$ sudo add-apt-repository ppa:oreste-notelli/ppa更新系统:$ sudo apt-get update安装 Justniffer 工具:$ sudo apt-get install justniffermake 的时候失败了,然后我运行下面的命令并尝试重新安装服务$ sudo apt-get -f install示例首先用 -v 选项验证安装的 Justniffer 版本,你需要用超级用户权限来使用这个工具。$ sudo justniffer -V示例输出:1.以类似 apache 的格式导出 eth1 接口流量,显示到终端。$ sudo justniffer -i eth1示例输出:2.可以用下面的选项跟踪正在运行的tcp 流$ sudo justniffer -i eth1 -r示例输出:3.获取 web 服务器的响应时长$ sudo justniffer -i eth1 -a %response.time示例输出:4.使用 Justniffer 读取一个 tcpdump 抓取的文件首先,用 tcpdump 抓取流量。$ sudo tcpdump -w /tmp/file.cap -s0 -i eth0然后用 Justniffer 访问数据$ justniffer -f file.cap示例输出:5.只抓取http 数据$ sudo justniffer -i eth1 -r -p port 80 or port 8080示例输出:6.获取一个指定主机的 http 数据$ justniffer -i eth1 -r -p host 192.168.1.250 and tcp port 80示例输出:7.以更精确的格式抓取数据当你输入 justniffer -h 的时候你可以看到很多用于以更精确的方式获取数据的格式关键字。$ justniffer -h示例输出:让我们用 Justniffer 根据预先定义的参数提取数据。$ justniffer -i eth1 -l %request.timestamp %request.header.host %request.url %response.time示例输出:其中还有很多你可以探索的选项。总结Justniffer 是一个很好的用于网络测试的工具。在我看来对于那些用 Snort 来进行网络探测的用户来说,Justniffer 是一个更简单的工具。它提供了很多 格式关键字 用于按照你的需要精确地提取数据。你可以用.cap 文件格式记录网络信息,之后用于分析监视网络服务性能。
- 查询域名whois信息的工具知识介绍
- 日均7亿交易量,为什么我们要用MySQL?
- 十个关于Reduce必须知道的JavaScript技巧
- 苹果iPad7代(功能丰富、性能卓越的全新iPad)
- Golang 语言怎么高效拼接字符串?
- Copyright © 2025 Powered by 聊聊 Wafw00f 源码及流量特征,码上建站 滇ICP备2023006006号-47sitemap