WAF绕过-权限控制篇-后门免杀

最新推荐文章于 2024-07-17 00:00:00 发布
最新推荐文章于 2024-07-17 00:00:00 发布
阅读量336 收藏
点赞数
分类专栏: WAF绕过 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/132049723
版权

WAF绕过主要集中在信息收集,漏洞发现,漏洞利用,权限控制四个阶段。

1、什么是WAF?

Web Application Firewall(web应用防火墙),一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。

基本可以分为以下4种:

软件型WAF

以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上是否有webshell,是否有文件被创建等。

硬件型WAF

以硬件形式部署在链路中,支持多种部署方式。当串联到链路上时可以拦截恶意流量,在旁路监听模式时只记录攻击但是不进行拦截。

云 WAF

一般以反向代理的形式工作,通过配置后,使对网站的请求数据优先经过WAF主机,在WAF主机对数据进行过滤后再传给服务器。

网站内置的WAF

就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的。

 

2、如何判断WAF?

Wafw00f识别工具:https://github.com/EnableSecurity/wafw00f

看图识别:https://mp.weixin.qq.com/s/3uUZKryCufQ_HcuMc8ZgQQ

其他项目脚本平台。

 

最低0.47元/天 解锁文章
xiaoheizi安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
权限控制WAF绕过之木马混淆免杀
m0_61506558的博客
10-03 750
当我们把有侵入性的代码写进去时,通过指纹信息,从而招到WAF的拦截,为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。(一)变量覆盖我们就以为例,禁止使用简单的变量传递,大多数waf具有变量追踪,必需要引入变量覆盖传递参数。?
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 3812
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
【漏洞复现】深信服 行为感知系统 日志中心 c.php 远程命令执行
最新发布
凝聚力安全团队
07-17 321
深信服 行为感知系统 日志中心 c.php存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限
WAF误报及绕过测试.xlsx
09-09
本文件是攻击报文:含有攻击性的post/get报文请求,可以作为网络安全测试的工具进行使用,文件含有攻击性,切勿使用将其用作攻击他人网站测试
WAF详解及WAF绕过
赤赤三的博客
03-20 9004
wafweb application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
Waf功能、分类与绕过
javagty6778的博客
02-17 371
WAFWeb应用防火墙(Web Application Firewall)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制措施。WAF分为硬件WAF、软件WAF(ModSecurity)和云WAFWAF对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等。
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
WAF上传绕过+wbehshell免杀-漏洞银行大咖面对面9-ian
07-31
### 软WAF上传绕过WebShell免杀技巧详解 #### 一、背景介绍 随着互联网技术的发展,Web应用程序的安全性越来越受到重视。Web应用防火墙(WAF)作为保护Web应用的一种常见手段,被广泛应用于各种场景中。然而,...
WAF是时候跟正则表达式说再见-破见
11-03
WAF是时候跟正则表达式说再见-破见。难得的PPt学习资料
WAF绕过-工具特征-菜刀+冰蝎+哥斯拉
xiaoheizi的博客
08-02 450
硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的。
47:WAF绕过-漏洞发现之代理池指纹被动探针
mingyqf的博客
05-07 1339
47:WAF绕过-漏洞发现之代理池指纹被动探针 文章目录思维导图**漏洞发现触发WAF点-针对xray,awvs等****案例1:代理池Proxy_pool项目搭建及使用解释**这里我是直接用phpstudy 搭建redis**案例2:充钱代理池直接干safedog+BT+aliyun探针****案例3:safedog-awvs漏扫注入测试绕过-延时,白名单****案例4:Aliyun_os-awvs漏扫注入测试绕过-延时白名单****案例5:BT(baota)-awvs+xray漏扫payload绕过-延
sql注入之waf绕过1()
weixin_52699809的博客
12-06 513
常用于过滤空格等将空格替换为/*11*/ ,把11换成 !*/ 放入bp爆破未完待续
WAF简介以及ModSecurity安装
weixin_64655821的博客
09-28 2115
WAF简介以及ModSecurity安装
WAF安恒
weixin_33984032的博客
03-24 661
http://wenku.baidu.com/view/c242927f581b6bd97e19ea1a.html?from=search
上传绕过WAF几种常见的姿势
aiquan9342的博客
05-16 274
1:WTS-WAF 绕过上传原内容:Content-Disposition: form-data; name="up_picture"; filename="xss.php"添加回车Content-Disposition: form-data; name="up_picture"; filename="xss.php" 2:百度云上传绕过见下:百度云绕过就简单的很多很多,在对文件...
WAF防护原理和绕过姿势
kuaindl的博客
01-28 1494
什么是WAF: 定义:web应用防火墙(Web Application Firewall),通过执行一系列针对HTTP/HTTPS的安全策略来防御对web应用的攻击。 WAF的种类: 源码防护: 程序员在开发时使用过滤函数对恶意代码进行过滤。对于这类的绕过思路主要是大小写替换、编码绕过、截断等方式,只要在代码中找到过滤函数就比较容易绕过。 软件WAF:主要通过访问速度、指纹识别等特征进行拦截,软件WAF侧重拦截WEB漏洞。主要有安全狗、云锁等 硬件WAF:主流防御流量和部分WEB攻击...
用最短的payload绕过WAF(入门)
dfdhxb995397的博客
11-02 702
本文作者:jishuzhain <font color=green>想绕过一个WAF,我们可以用最短的payload来做,这里只是基础示例,望各位大佬勿喷,小弟在此谢过。</font> 我在这里先使用一个网页举例。 <script>alert(1)</script> 然后输入经典的payload 拒绝访...
WAF绕过技术:冷门函数与策略规避详解
本文主要介绍了在信息安全领域,特别是针对Web应用程序防火墙(WAF)的绕过技术。这些技术涉及到数据库查询注入、编码转换、特殊语法利用和冷门函数的应用,目的是为了规避WAF的检测,实现攻击或漏洞利用。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值