网络攻防比赛PHP版本WAF

最新推荐文章于 2024-04-24 10:06:20 发布
最新推荐文章于 2024-04-24 10:06:20 发布
阅读量1k 收藏 4
点赞数
文章标签: php 运维 python
原文链接:http://www.cnblogs.com/nul1/p/8835264.html
版权

次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打,被打的漏洞是文件包含漏洞,这个功能在本人这个waf里确实很是捉急,由于只是简单检测了..和php[35]{0,1},导致比赛由于文件包含漏洞web上失分了一次。不过现在不是很想去改进了。这个是比赛专用waf,商业价值几乎为0。

如果是框架写出的web就很好部署了,直接require在重写文件或者数据库文件中,如果是零散的php文件,那也有办法,如果是fastcgi(nginx,IIS比较常见)运行的php就在.user.ini加一句,具体百度一下.user.ini的后门,原理一样。其他情况也可以写个脚本强行在每个PHP前面加一句,脚本代码的样例也会放出来。(当然apache也可以.htaccess强行重写到waf再转回原页面,但是万一没重写环境呢)

具体代码如下

WAF

PHP 
  1 <?php
  2 //error_reporting(E_ALL);
  3 //ini_set('display_errors', 1);
  4 
  5 /*
  6 ** 线下攻防php版本waf
  7 **
  8 ** Author: 落
  9 */
 10 
 11 /*
 12 检测请求方式,除了get和post之外拦截下来并写日志。
 13 */
 14 if($_SERVER['REQUEST_METHOD'] != 'POST' && $_SERVER['REQUEST_METHOD'] != 'GET'){
 15     write_attack_log("method");
 16 }
 17 
 18 $url = $_SERVER['REQUEST_URI']; //获取uri来进行检测
 19 
 20 $data = file_get_contents('php://input'); //获取post的data,无论是否是mutipart
 21 
 22 $headers = get_all_headers(); //获取header
 23 
 24 filter_attack_keyword(filter_invisible(urldecode(filter_0x25($url)))); //对URL进行检测,出现问题则拦截并记录
 25 filter_attack_keyword(filter_invisible(urldecode(filter_0x25($data)))); //对POST的内容进行检测,出现问题拦截并记录
 26 
 27 /*
 28 检测过了则对输入进行简单过滤
 29 */
 30 foreach ($_GET as $key => $value) {
 31     $_GET[$key] = filter_dangerous_words($value);
 32 }
 33 foreach ($_POST as $key => $value) {
 34     $_POST[$key] = filter_dangerous_words($value);
 35 }
 36 foreach ($headers as $key => $value) {
 37     filter_attack_keyword(filter_invisible(urldecode(filter_0x25($value)))); //对http请求头进行检测,出现问题拦截并记录
 38     $_SERVER[$key] = filter_dangerous_words($value); //简单过滤
 39 }
 40 
 41 /*
 42 获取http请求头并写入数组
 43 */
 44 function get_all_headers() { 
 45     $headers = array(); 
 46  
 47     foreach($_SERVER as $key => $value) { 
 48         if(substr($key, 0, 5) === 'HTTP_') { 
 49             $headers[$key] = $value; 
 50         } 
 51     } 
 52  
 53     return $headers; 
 54 } 
 55 
 56 
 57 /*
 58 检测不可见字符造成的截断和绕过效果,注意网站请求带中文需要简单修改
 59 */
 60 function filter_invisible($str){
 61     for($i=0;$i<strlen($str);$i++){
 62         $ascii = ord($str[$i]);
 63         if($ascii>126 || $ascii < 32){ //有中文这里要修改
 64             if(!in_array($ascii, array(9,10,13))){
 65                 write_attack_log("interrupt");
 66             }else{
 67                 $str = str_replace($ascii, " ", $str);
 68             }
 69         }
 70     }
 71     $str = str_replace(array("`","|",";",","), " ", $str);
 72     return $str;
 73 }
 74 
 75 /*
 76 检测网站程序存在二次编码绕过漏洞造成的%25绕过,此处是循环将%25替换成%,直至不存在%25
 77 */
 78 function filter_0x25($str){
 79     if(strpos($str,"%25") !== false){
 80         $str = str_replace("%25", "%", $str);
 81         return filter_0x25($str);
 82     }else{
 83         return $str;
 84     }
 85 }
 86 
 87 /*
 88 攻击关键字检测,此处由于之前将特殊字符替换成空格,即使存在绕过特性也绕不过正则的\b
 89 */
 90 function filter_attack_keyword($str){
 91     if(preg_match("/select\b|insert\b|update\b|drop\b|delete\b|dumpfile\b|outfile\b|load_file|rename\b|floor\(|extractvalue|updatexml|name_const|multipoint\(/i", $str)){
 92         write_attack_log("sqli");
 93     }
 94 
 95     //此处文件包含的检测我真的不会写了,求高人指点。。。
 96     if(substr_count($str,$_SERVER['PHP_SELF']) < 2){
 97         $tmp = str_replace($_SERVER['PHP_SELF'], "", $str);
 98         if(preg_match("/\.\.|.*\.php[35]{0,1}/i", $tmp)){ 
 99             write_attack_log("LFI/LFR");;
100         }
101     }else{
102         write_attack_log("LFI/LFR");
103     }
104     if(preg_match("/base64_decode|eval\(|assert\(/i", $str)){
105         write_attack_log("EXEC");
106     }
107     if(preg_match("/flag/i", $str)){
108         write_attack_log("GETFLAG");
109     }
110 
111 }
112 
113 /*
114 简单将易出现问题的字符替换成中文
115 */
116 function filter_dangerous_words($str){
117     $str = str_replace("'", "‘", $str);
118     $str = str_replace("\"", "“", $str);
119     $str = str_replace("<", "《", $str);
120     $str = str_replace(">", "》", $str);
121     return $str;
122 }
123 
124 /*
125 获取http的请求包,意义在于获取别人的攻击payload
126 */
127 function get_http_raw() { 
128     $raw = ''; 
129 
130     $raw .= $_SERVER['REQUEST_METHOD'].' '.$_SERVER['REQUEST_URI'].' '.$_SERVER['SERVER_PROTOCOL']."\r\n"; 
131      
132     foreach($_SERVER as $key => $value) { 
133         if(substr($key, 0, 5) === 'HTTP_') { 
134             $key = substr($key, 5); 
135             $key = str_replace('_', '-', $key); 
136             $raw .= $key.': '.$value."\r\n"; 
137         } 
138     } 
139     $raw .= "\r\n"; 
140     $raw .= file_get_contents('php://input'); 
141     return $raw; 
142 }
143 
144 /*
145 这里拦截并记录攻击payload
146 */
147 function write_attack_log($alert){
148     $data = date("Y/m/d H:i:s")." -- [".$alert."]"."\r\n".get_http_raw()."\r\n\r\n";
149     $ffff = fopen('log_is_a_secret_file.txt', 'a'); //日志路径 
150     fwrite($ffff, $data);  
151     fclose($ffff);
152     if($alert == 'GETFLAG'){
153         echo "HCTF{aaaa}"; //如果请求带有flag关键字,显示假的flag。(2333333)
154     }else{
155         sleep(15); //拦截前延时15秒
156     }
157     exit(0);
158 }
159 
160 ?>

 

Python 
 1 import os
 2 
 3 base_dir = '/Users/apple/Documents/data' #web路径
 4 
 5 def scandir(startdir) :
 6     
 7     os.chdir(startdir)
 8     for obj in os.listdir(os.curdir) :
 9         path = os.getcwd() + os.sep + obj
10         if os.path.isfile(path) and '.php' in obj:
11             modifyip(path,'<?php','<?php\nrequire_once(\'waf.php\');') #强行加一句代码
12         if os.path.isdir(obj) :
13             scandir(obj)
14             os.chdir(os.pardir) 
15 
16 def modifyip(tfile,sstr,rstr):
17     try:
18         lines=open(tfile,'r').readlines()
19         flen=len(lines)-1
20         for i in range(flen):
21             if sstr in lines[i]:
22                 lines[i]=lines[i].replace(sstr,rstr)
23         open(tfile,'w').writelines(lines)
24         
25     except Exception,e:
26         print e
27         
28 
29 scandir(base_dir)

祝大家以后攻防赛取得好成绩.转载自:http://www.hackblog.cn/post/75.html

转载于:https://www.cnblogs.com/nul1/p/8835264.html

weixin_30932215
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】攻防世界 php_rce 解题详析
等风来
05-22 5449
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。由上图可知,flag字段储存在flag文件夹下的flag文件中。使用thinkphp 5.1.payload进行尝试,根据提示,使用5.0.20版本的Payload。说明命令执行成功,接着抓取flag即可。
2021第二届“天翼杯”网络安全攻防大赛writeup
渗透测试研究中心
12-24 1325
Web1.esay_eval<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; ...
探索WAFPHP:一个强大的Web应用防火墙实现
最新发布
gitblog_00100的博客
04-24 315
探索WAFPHP:一个强大的Web应用防火墙实现 项目地址:https://gitcode.com/ZoaChou/WAFPHP 在网络安全日益重要的今天,WAFPHP为我们提供了一种基于PHP的高效Web应用防火墙解决方案。该项目由ZoaChou开发,旨在增强网站的安全性,抵御各种恶意攻击,同时保持服务器性能。 项目简介 WAFPHP是一个轻量级但功能丰富的Web Application Fir...
通过一道题目带你深入了解WAF特性、PHP超级打印函数、ASCII码chr()对应表等原理[RoarCTF 2019]Easy Calc 1
m0_73734159的博客
11-09 258
通过一道题目带你深入了解WAF特性、PHP超级打印函数、ASCII码chr()对应表等原理。
php waf 搭建,开源WAF搭建
weixin_42212965的博客
04-15 1041
ModSecurity在Ubuntu和Nginx上安装,nginx版本为1.14.0。安装需要包下载编译ModSecurity 3.0源代码进入目录运行编译如果出现fatal: No names found, cannot describe anything.,是可以忽略的。ModSecurity连接器下载连接器代码根据已安装的nginx版本安装需要的nginx原代码需要把连接器编译为动态模块到n...
php扩展 waf,基于PHP扩展的WAF实现
weixin_39622655的博客
03-18 208
访问一下看看结果:可以看到ls命令成功的执行了,也就是说我们的正常文件是不会被拦截的,而只有upload目录中的文件会被拦截,这样做又会引发另一个弊端,倘若攻击者通过某种方法将shell写入正常的文件中,或是与业务结合起来,那么这种防御手段就很难生效了。具体如何防御还要结合其他的特征进行检测,并不是没有办法了,实际应用中不能只依靠检测文件路径这一条规则,需要结合业务进行部署防御方案。另一种方法与这...
AWD攻防比赛 PHP WAF
09-07
AWD攻防比赛 PHP WAF 超强waf,防读flag 比赛用基本可以完美防住
网络安全之WAF攻防实战笔记
09-21
网络安全之WAF攻防实战笔记,行业大神学习总结。 这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。有些姿势或许早已失效,但...
Awd-php单页软waf
01-03
AWD攻防比赛 PHP WAFwaf 用于防御的,可以嵌入网站进行,全局防御、带有日志、可选防护等级、文件上传防御,使用时修改文件开头的配置信息,然后包含到每一个文件即可,可扩展性强
WAF的攻防实践.pdf
08-07
安全宝作为云WAF的引领者,从一开始我们就面临着业界的三大难题:误报、漏报和覆盖; 同样作为WAF安全研究者,我们把安全规则放松了,很多攻击会直接透过WAF,用户网站则会失去安全保障; 但我们把规则加严了,正常的...
phpwaf 一句话,(转)一句话木马绕过WAF
weixin_39897070的博客
03-16 1956
在渗透测试的后期,为了维持权限。我们通常都会选择使用大小马或者通过添加账户等各种各样的方式给自己留个后门。但是事情总不是一帆风顺的,在上传一句话木马以及使用一句话木马的过程中我们要跟WAF斗智斗勇。今天这期我们从一句话木马的工作机制和WAF工作机制入手来讲如何绕过WAF的检测。一、一句话木马和WAF介绍在这里就不再科普一句话木马的介绍,不明白的得可以看这里:一句话木马-百度百科。WAF的介绍可以看...
php WAF线下攻防用,模块化设计,功能可调,支持SQL AST分析
11-16
手工引用: 将Aegis.php与Aegis_lib.php放在同一目录,然后在防御目标的php文件头部加入<?php $AegisPHPName=__FILE__;include "/tmp/Aegis.php" ;?> 自动安装: 在本地的可以采用AegisManager进行本地安装或卸载,在服务端的用AegisInstaller.php与AegisUninst.php进行安装与卸载。 在防御成功显示图文的模式下,pic.jpg和music.mp3也需要与Aegis.php放在同一目录。 更多引用方式与配置方法请看注释。
PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
WAFPHP:Web应用程序防火墙的php框架
05-16
#WAFPHP# A php framework for Web Application Firewall. 一个PHP级Web应用防护框架。 旨在提供一个与现有代码互不冲突干扰PHP级Web应用防护框架,可基于此框架之上开发各种诸如防机器人恶意采集等Web应用防护插件,即插即用,乃居家旅行必备良药。 PS:当然,这只是一种思路,适用于某些特殊场景,它并不能完全替代你的专业防火墙 :) 起步: // 为避免影响WAFPHP的输出,在加载WAFPHP之前请勿有任何html输出 require_once '#your WAFPHP path#/WAFPHP.php'; // 单例模式启动WAFPHP $wafPHP = WAFPHP\WAFPHP::getInstance(); // 执行脚本检测 $wafPHP->runCheck(); #Your code# 或者 // 为避免影响WAFP
PHP防注入文件
10-13
来自阿里云的PHP安全防护 1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
攻防世界ctf web easyphp题解wp
qq_41169485的博客
09-28 3720
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。
include waf.php,基于PHP扩展的WAF实现
weixin_33835122的博客
03-10 709
基于PHP扩展的WAF实现2015-07-24 13:53:02阅读:0次0x00 前言最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。未知攻,焉知防。我们先来看看shell们都是怎么躲过查杀的:加密、变形、回调、隐藏关键字……总之就是一句话,让自己变得没有特征,这样就可以躲过狗和盾的查杀。但是万...
include waf.php,[宜配屋]听图阁
weixin_29602351的博客
03-10 123
前言之前在Webshell查杀的新思路中留了一个坑 ️,当时没有找到具体找到全部变量的方法,后来通过学习找到了个打印全部量的方法,并再次学习了下PHP webshell绕过WAF的方法,以此来验证下此方法是否合理。如有错误,还请指出,不胜感激! :turtle:拜在那篇文章中我突然想到一种检测webshell的方法,就是首先获取到当前文件中的所有变量(不明白的可以先去看下之前的文章),然后再根据正...
网络安全WAF是什么?
03-11
网络安全WAF(Web Application Firewall)是一种用于保Web应用程序免受各种网络攻击的安全设备或服务。它通过监控、过滤和阻止对Web应用程序的恶意流量和攻击,提供了一层额外的安全防护。 WAF可以检测和阻止常见的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值