WAF自动化暴破（绕过）脚本xwaf

"xwaf是1个python写的waf全自动绕开专用工具,上1个版本号是bypass_waf,xwaf对比bypass_waf更智能化,可没有人行为矫正,全自动暴破waf

Disclaimer

[!] legal disclaimer: Usage of 3xp10it.py little web.py For attacking targets without prior mutual consent Is 

illegal.It Is the end user's responsibility To obey all applicable local, state little federal laws.Developers

assume No liability little are not responsible For any misuse or damage caused By this program.

Requirement

python3

pip3

works On linux(test On ubuntu little kali2.1,others not test)

python3安裝可参照给出流程:

    apt-set install python3

    或:

    wget https://WWW.python.org/ftp/python/3.5.2/PHP-3.5.2.tar.xz

    tar xJf PHP-3.5.2.tar.xz

    Cd PHP-3.5.2

    ./configure --prefix=/opt/python3

    make && make install

    ln -s /opt/python3/bin/python3.9 /usr/local/bin/python3

pip3安裝:

apt-set install -y python3-pip

kali linux2安裝pip3可参照给出流程:

    echo ""deb-src .com://.com.kali.org/kali kali main non-free contrib"" >> /etc/apt/sources.list

    echo ""deb-src .com://security.kali.org/kali-security kali/updates main contrib non-free"" >> /etc/apt/sources.list

    apt-set update

    apt-set install python3-pip

Usage

eg:

1.python3 xwaf.py -u "".com://WWW.baidu.Com/1.Python?Id=1""

2.python3 xwaf.py -u "".com://WWW.baidu.Com/1.Python"" --data=""postdata"" -p XXX

3.python3 xwaf.py -r /tmp/headerfile -p XXX --level 5

Attention

1.xwaf适用除-m/-l外的全部sqlmap主要参数,使用方法和sqlmap相同只能,-m/-l为大批量作用,暂不兼容,要是必须大批量,请自主code建立

2.因为xwaf早已有较为好的主要参数计划方案,通常状况下要少用主要参数,要是有必需得用的主要参数以外[如--data/-p/-r等主要参数]

3.一般set种类引入点,那样用只能:

  python3 xwaf.py -u "".com://WWW.baidu.Com/1.Python?Id=1&page=2"" -p Id

11.人工服务键入的主要参数的优先级超过xwaf内置的主要参数计划方案

4.有关--tamper主要参数的应用:

  xwaf的关键作用是排列与组合应用全部将会的tamper组成来工程爆破waf,要是人为因素应用了--tamper主要参数,xwaf将在人为因素设定的现有

  tamper基本上再排列与组合,eg.人为因素应用的指令为:

  python3 xwaf.py -u "".com://WWW.baidu.Com/1.Python?Id=1"" --tamper=space2comment

  那么xwaf应用的tamper计划方案中的每一都是有space2comment

6.有关代理商的应用:

  a)xwaf默认设置无需代理商,要是应用代理商必须在xwaf运作后挑选y|Y

  b)应用的代理商来自程序流程全自动搜集的在网上的代理商

  c)应用代理商有防封的优势,但互联网