焚靖：全自动WAF绕过工具，CTF比赛必备神器

在网络安全攻防对抗中，WAF（Web应用防火墙）是防御者的重要防线，而绕过WAF则是攻击者的核心挑战。焚靖项目作为一款专业的全自动WAF绕过工具，专门针对CTF比赛中的Jinja SSTI漏洞设计，帮助参赛者快速突破WAF限制，大幅提升攻击效率。

🚀 核心功能亮点

智能WAF分析与绕过

焚靖能够自动分析目标网站的WAF规则，并生成相应的绕过payload。它集成了大量CTF比赛中常见的WAF绕过技巧，包括：

• 关键字符绕过：引号、下划线、方括号等敏感字符
• 数字绕过：支持0-9的多种绕过方式
• 字符串构造：多种字符串拼接和编码方式
• 属性访问：多种属性访问方法的灵活运用

多场景攻击支持

焚靖支持多种攻击模式，满足不同场景需求：

焚靖的WebUI界面，支持可视化配置和攻击

📋 快速上手指南

安装方式

推荐使用pipx安装：

pipx install fenjing
fenjing webui

使用pip安装：

pip install fenjing
fenjing webui

Docker方式：

docker run --net host -it marven11/fenjing webui

主要使用场景

1. 网站全面扫描

fenjing scan --url 'http://目标网站/'

自动提取网站中的表单和参数，进行全方位漏洞检测。

2. 指定表单攻击

fenjing crack --url 'http://目标网站/' --method GET --inputs 参数名

3. 路径注入攻击

fenjing crack-path --url 'http://目标网站/路径前缀/'

4. 自定义请求攻击

将HTTP请求保存到文件中，使用crack-request功能：

fenjing crack-request -f 请求文件.txt --host 目标IP --port 端口

🔧 高级功能特性

智能Payload生成

焚靖的payload生成系统具有以下特点：

• 自动优化：生成较短的表达式，减少payload长度
• 优先级检查：仔细检查表达式优先级，避免多余括号
• 变量预设：在payload前方设置变量，供后续表达式使用

灵活的编码选项

支持多种编码和转换方式：

• Base64编码
• 字符串反转
• 自定义Python编码器

焚靖在实际攻击中的演示效果

🎯 实际应用案例

焚靖在多个CTF比赛中表现出色：

• CISCN 2025：成功绕过复杂WAF规则
• GeekGame 3：快速获取关键flag
• 0xGame：自动化攻击显著提升效率

💡 技术优势

全自动化流程

从WAF分析到payload生成，再到实际攻击，焚靖实现了完整的自动化流程，大大减少了手动测试的时间成本。

智能检测模式

提供两种检测模式：

• accurate模式：精确检测，逐个发送payload
• fast模式：快速检测，组合发送payload

🛠️ 故障排除

如果遇到攻击失败的情况，可以尝试：

1. 使用--detect-mode fast加速攻击
2. 手动指定WAF页面关键字
3. 调整字符替换策略

焚靖作为专业的CTF自动化脚本，不仅适用于比赛场景，也是安全测试和教育培训的实用工具。无论是网络安全新手还是专业选手，都能通过焚靖快速掌握WAF绕过技巧，提升实战能力。