点击上方蓝字关注我们
现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队“设为星标”,否则可能就看不到了啦!
工具介绍
docker pull nemesida/waf-bypassdocker run nemesida/waf-bypass --host='example.com'
pipx install git+https://github.com/nemesida-waf/waf-bypass.git<pipx bin dir>/waf-bypass
git clone https://github.com/nemesida-waf/waf_bypass.git /opt/waf-bypass/python3 -m pip install -r /opt/waf-bypass/requirements.txtpython3 /opt/waf-bypass/main.py --host='example.com'
'--proxy'(--proxy='http://proxy.example.com:3128') - 选项允许指定连接到的位置,而不是主机。'--header'(--header 'Authorization: Basic YWRtaW46YWRtaW4=' --header 'X-TOKEN: ABCDEF') - 选项允许指定要与所有请求一起发送的HTTP标头(例如,用于身份验证)。允许多次使用。'--user-agent'(--user-agent 'MyUserAgent 1/1') - 选项允许指定要与所有请求一起发送的 HTTP User-Agent,除非 User-Agent 由有效负载 ("USER-AGENT") 设置。'--block-code'(--block-code='403' --block-code='222') - 选项允许您指定阻止 WAF 时预期的 HTTP 状态代码。(默认值为 403)。允许多次使用'--threads'(--threads=15) - 选项允许指定并行扫描线程数(默认为10 )'--timeout'(--timeout=10) - 选项允许指定请求处理超时(以秒为单位)(默认为30 )'--exclude-dir'- 排除有效负载的目录 (.--exclude-dir='SQLi,XSS')'--json-format'- 一个选项,允许您以 JSON 格式显示工作结果(对于将工具与安全平台集成非常有用)。如果未指定该选项,则输出将采用表格格式(默认格式)。'--details'- 显示 False Positive 和 False Negative 负载。与 option 选项不兼容。--json-format'--no-progress'- 不显示进度条。'--curl-replay'- 显示 cURL 命令以重现 False Positive、False Negative 或 Failed 请求。与 option 选项不兼容。--json-format
下载地址
圈子介绍
博主介绍:
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
部分免杀项目源代码
一键击溃360+核晶
一键击溃windows defender
一键击溃火绒进程
CobaltStrike4.9.1二开
CobaltStrike免杀加载器
数据库直连工具免杀版
aspx文件自动上线cobaltbrike
jsp文件自动上线cobaltbrike
哥斯拉免杀工具 XlByPassGodzilla
冰蝎免杀工具 XlByPassBehinder
冰蝎星落专版 xlbehinder
正向代理工具 xleoreg
反向代理工具xlfrc
内网扫描工具 xlscan
CS免杀加载器 xlbpcs
Todesk/向日葵密码读取工具
导出lsass内存工具 xlrls
绕过WAF免杀工具 ByPassWAF
等等...
往期推荐
1.
3
4.
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...