Juguitos/payloadforge
GitHub: Juguitos/payloadforge
一款纯 PHP 实现的 WAF 绕过载荷生成实验室,内置多种编码变形和主流防护预设,支持载荷导出与 JWT 伪造。
Stars: 10 | Forks: 0
# ⚡ PayloadForge — WAF Bypass 实验室
## 📸 功能特性
- **14 个 payload 类别** — XSS, SQLi, SSTI, LFI, IDOR, CmdInj, CORS, JWT, LDAP, NoSQL, SSI, SSRF, XXE, Clickjacking
- **204 个精选 payload**,包含标签、描述和来源说明
- **双重 payload 来源** — `PATT` (PayloadsAllTheThings) + `PF` (PayloadForge 原创),并在 UI 中标注
- **13 种变形技术** — URL Encode, Double URL Encode, Base64, Hex, Unicode Escape, HTML Entity, Case Alternation, Null Byte, SQL Comment Break, Tab Substitute, Newline Inject, JSON Unicode, HTML Hex
- **7 种 WAF bypass 配置** — Cloudflare, ModSecurity, AWS WAF, Akamai, F5 BIG-IP, Imperva, Generic
- **🔑 JWT 编辑器** — 在浏览器中直接解码、修改 claims、运行快速攻击(alg:none, kid 遍历, 角色提升)并伪造 token
- **🖱️ Clickjacking 演示** — 实时 iframe 测试器,带有透明覆盖层 PoC,可直观确认 X-Frame-Options 的存在与否
- **导出** — `.txt` 和 `.json` 格式,可直接用于 Burp Intruder / ffuf 字典
- **零依赖** — 纯 PHP 8.0+,无需 Composer,无需 Node
- **Matrix 雨背景**,因为风格很重要
## 🚀 快速开始
### 选项 1 — Docker(推荐)
```
git clone https://github.com/Juguitos/payloadforge.git
cd payloadforge
docker-compose up -d
```
打开:[http://localhost:8080](http://localhost:8080)
### 选项 2 — PHP 内置服务器
```
git clone https://github.com/Juguitos/payloadforge.git
cd payloadforge
php -S 0.0.0.0:8080
```
打开:[http://localhost:8080](http://localhost:8080)
### 选项 3 — Apache / Nginx
将文件复制到您的 Web 根目录。需要 PHP 8.0+。
## 🛠️ 使用说明
1. 从顶部导航栏**选择一个类别**
2. 在左侧边栏**浏览 payload** — 点击一个以加载它
3. 转到 **CUSTOM** 选项卡:
- 自由编辑 payload
- 可选择 **WAF Profile** 以自动加载 bypass 变形
- 或手动切换单独的 **Mutation** 标签
4. 点击 **⚡ GENERATE MUTATIONS**
5. 在 **MUTATIONS** 选项卡中,复制单个结果或将所有结果导出为 `.txt` / `.json`
## 📦 Payload 类别
| 类别 | 数量 | 用例 |
|--------------|-------|----------|
| XSS | 20 | Reflected, DOM, stored XSS, polyglots, cookie exfil, angular SSTI |
| SQLi | 20 | Auth bypass, UNION, blind boolean/time, error-based, file read/write |
| SSTI | 18 | Jinja2, Twig, Freemarker, Smarty, ERB, Tornado, Velocity, Mako |
| LFI | 18 | Path traversal, PHP wrappers, log poisoning, Windows paths, phar/zip |
| IDOR | 16 | Sequential IDs, UUID, mass assignment, GraphQL, S3, param pollution |
| CmdInj | 16 | Semicolon/pipe/backtick chains, IFS bypass, glob, reverse shells, OOB |
| CORS | 12 | Origin reflection, null origin, subdomain attacks, fetch/XHR PoC |
| JWT | 12 | alg:none, kid traversal, jku/x5u injection, weak secret brute |
| LDAP | 12 | Auth bypass, wildcard inject, blind extraction, DN inject, filter escape |
| NoSQL | 12 | MongoDB operators, $where JS, Redis, CouchDB, GraphQL inject |
| SSI | 12 | exec cmd, include virtual/file, printenv, reverse shell |
| SSRF | 16 | Localhost, AWS/GCP/Azure metadata, file/dict/gopher, IP encoding bypass |
| XXE | 12 | File read, SSRF, OOB exfil, billion laughs, SVG/XLSX, XInclude |
| Clickjacking | 8 | Iframe PoC, transparent overlay, form hijack, detection, mitigations |
## 🔑 JWT 编辑器
JWT 类别包含一个交互式 token 编辑器:
- **解码** 任何 JWT 为可编辑的 header 和 payload JSON
- 单击进行**快速攻击**:
- 设置 `alg: none`(无签名 token 绕过)
- 将角色提升为 `admin`
- 移除过期时间(`exp: 9999999999`)
- 注入 `isAdmin: true`
- `kid` 路径遍历(`../../dev/null`)
- `kid` SQL 注入
- **伪造** — 使用修改后的 claims 重建 token(保留原始签名或为 alg:none 移除签名)
- **复制** 伪造的 token 直接到剪贴板
## 🖱️ Clickjacking 演示
Clickjacking 类别包含一个实时演示工具:
- 输入任何目标域名并点击 **TEST**
- 一个 iframe 尝试加载目标 — 状态栏显示 **VULNERABLE**(已加载)或 **PROTECTED**(已阻止)
- 切换 **OVERLAY** 以渲染一个透明攻击层,在真实页面上显示一个动画假按钮
- 信息卡片解释了该漏洞、缓解措施以及如何在报告中使用 PoC payload
## ⚙️ 变形技术
| 技术 | 示例 |
|-----------|---------|
| URL Encode | `%3Cscript%3E` |
| Double URL Encode | `%253Cscript%253E` |
| Base64 | `PHNjcmlwdD4=` |
| Hex Encode | `%3C%73%63%72%69%70%74%3E` |
| HTML Entity | `<script>` |
| Unicode Escape | `\u003cscript\u003e` |
| Case Alternation | `