本文最后更新于 2024-09-05,文章内容可能已经过时。

waf绕过之安全狗的安装和配置

一、前言

​ 最近几天在学习如何绕过waf,奈何没有实际的环境进行测试,只好自己搭建靶场环境进行部署安全狗进行绕过waf的学习,这篇文章记录一下安装过程和中间踩过的坑,到最后我会把安全狗和sqli-lab靶场安装后出一篇绕过安全狗的文章。

二、安全狗安装过程

环境配置

Windows 10 虚拟机

phpstudy2018

sqli-labs靶场

安全狗apache4.0.30255

安装phpstudy2018

​ 安全狗的安全需要开启Apache环境服务,如果Apache系统环境未提前开启的话安装过程中可能会出现无法填入服务名称的问题,导致无法进行安全,为避免此问题,可以先在虚拟机中安装PHPStudy进行安装后启动。

这里我选择的是2018的PHPstudy环境

下载安装PHPstudy并启动

下载连接:http://public.xp.cn/upgrade/PhpStudy2018.zip

安装成功后手动启动Apache服务

image-20240905132855747

安装安全狗

网站安全狗-网站安全防护,防后门|防SQL注入|防CC攻击|网马查杀|防篡改 (safedog.cn)

image-20240905141244820

下载apache版本的(服务器安全狗,如有需要可下载):这里下网站版的

image-20240904202525384

image-20240905133432726

image-20240904202540364

验证是否安装成功

http://127.0.0.1/?id=1=1 and 1=2

image-20240905135619670

安全狗功能介绍

网站防护:

image-20240905135729237

image-20240905135738464

HTTP安全检测:

image-20240905135555759

这些是默认开启的,但是像xss这些没有开启的,如果需要防护需要手动开启

image-20240905135911513

上传防护

image-20240905135939136

资源防护:

image-20240905140033787

image-20240905140046302

IP黑名单

image-20240905140108443

image-20240905140116502

防护日志

image-20240905140140914

image-20240905140212585

三、搭建sqli-labs配置安全狗

安装sqli-labs靶场

sqli-labs:https://github.com/Audi-1/sqli-labs

下载完成后,直接将压缩包全部解压到我们本地网站的根目录下

C:\phpStudy2018\PHPTutorial\WWW

image-20240905140431312

配置数据库连接信息:

image-20240905140456195

image-20240905140556537

image-20240905140541389

打开安全狗,默认的开启即可

image-20240905140749441

测试:

http://127.0.0.1/sqli-labs-master/Less-1/?id=1'and 1=1

image-20240905140839122

image-20240905140855178

出现拦截界面,设置成功

(如果要安装其他靶场如pikachu也是一样的操作)

到此,安全狗和sqli-labs靶场就配置完毕

接下来就是对sql注入绕waf的实操,请看我的下一篇博客