WAF绕过-漏洞利用之注入上传跨站等绕过

最新推荐文章于 2024-05-27 11:17:38 发布
最新推荐文章于 2024-05-27 11:17:38 发布
阅读量1.8k 收藏 14
点赞数 1
分类专栏: 渗透笔记2 文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/123036491
版权

在这里插入图片描述
waf主要拦截的就是上图漏洞

SQL 注入
如需 sqlmap 注入 修改 us 头及加入代理防 CC 拦截自写 tamper 模块
安全狗:参考之前 payload
Aliyun:基本修改指纹即可
宝塔:匹配关键字外加/*等
sqlmap --proxy="http://127.0.0.1:8080" --tamper="waf.py" --random-agent

文件上传
1.php 截断 参考前面上传 waf 绕过 payload

XSS 跨站
利用 XSStrike 绕过 加上--timeout 或--proxy 绕过 cc

其他集合
RCE:
加密加码绕过?算法可逆?关键字绕过?提交方法?各种测试!
txt=$y=str_replace('x','','pxhpxinxfo()');assert($y);&submit=%E6%8F%90%E4%BA%A4

文件包含:没什么好说的就这几种
..\ ..../ ..\.\

一、sqlmap绕过

1.通过sqlmap对网址进行测试的时候,如果对方有cc流量防护,需要给sqlmap设置一个代理进行注入。

2.如果对方有安全狗等waf,可以使用tamper自定义模块通过自己编写绕过语法,注入时对waf进行绕过。

3.当对方有waf时,需要设置更换sqlmap的user-agent,否则会被waf识别并拦截。

sqlmap --proxy="http://127.0.0.1:8080" --tamper="waf.py" --random-agent

有宝塔时:

同样用编写后绕过安全狗的tampe模块去跑网站,虽然绕过了安全狗,如果对方有宝塔,会被宝塔拦截。
因为宝塔这个鸟毛过滤了/*等一系列字符。(宝塔比安全狗多了一个对/*进行检测)

绕过方法:

一但用到/*这些注释什么的,就在前面加上%00,宝塔就以为结束了,不会检测后面的数据了。

举例:

此时加上%00,宝塔没有进行拦截
在这里插入图片描述去掉%00后,宝塔检测到后面的/*,对请求进行拦截
在这里插入图片描述

二、 文件上传绕过waf

更改上传后缀名的格式(很多方法,具体在文件上传的笔记,这里就不多说了)
在这里插入图片描述

三、XSS绕过waf

利用 XSStrike工具进行测试
此时如果对方网站开启cc防护:
1.由于是工具,需要设置一个代理
2.设置延迟参数

XSStrike参数:

-h, --help //显示帮助信息
-u, --url //指定目标 URL
--data //POST 方式提交内容
-v, --verbose //详细输出
-f, --file //加载自定义 paload 字典
-t, --threads //定义线程数
-l, --level //爬行深度
-t, --encode //定义 payload 编码方式
--json //将 POST 数据视为 JSON
--path //测试 URL 路径组件
--seeds //从文件中测试、抓取 URL
--fuzzer //测试过滤器和 Web 应用程序防火墙。
--update //更新
--timeout //设置超时时间
--params //指定参数
--crawl //爬行
--proxy //使用代理
--blind //盲测试
--skip //跳过确认提示
--skip-dom //跳过 DOM 扫描
--headers //提供 HTTP 标头
-d, --delay //设置延迟

四、RCE绕过waf

RCE代码:
接收post传入的参数,并且通过eval执行,如果没执行成功则输出字符串
在这里插入图片描述

当对方网站上存在RCE漏洞,但是开启了安全狗和宝塔时:

1.输入echo 123; 并执行,成功输出
在这里插入图片描述
2.但是当输入phpinfo();时,连接被重置了,此处是因为敏感字符被waf检测到了所以进行拦截
在这里插入图片描述
在这里插入图片描述
3.打开宝塔的日志,发现是被宝塔拦截了,因为post传入的参数被检测出来触发了它的过滤规则
在这里插入图片描述
4.此时我们想到通过base64加密解密来绕过phpinfo(); 这个关键字

先把phpinfo();用base64加密,结果为cGhwaW5mbygpOw==,然后用php中的base64解密函数base64_decode()进行解密

所以在输入框内base64_decode(‘cGhwaW5mbygpOw==’);提交即可

当post将字符串base64_decode(‘cGhwaW5mbygpOw==’);提交后,对方后台接收到post值,并通过eval将字符串当成php代码执行,就成功对加密后的phpinfo();进行了解密还原。(此时感觉逻辑非常的通顺)

在这里插入图片描述

5.提交后发现又被拦截了,此时我们打开宝塔的日志看了一眼,又被匹配到了敏感参数,这次是base64_decode()(我感觉就算没有拦截的话,通过上面源码看,传入后也执行不了,会报语法错误)
在这里插入图片描述
6.此时就可以用字符串的拼接来绕过waf对关键字的匹配

(1) 因为waf只是拦截关键字,我们用字符串将关键字拼接起来,waf就不会识别到,并且可以执行同样的功能

例子:
$a='php'.'info();';assert($a);
将php和info(); 拼接起来赋值给变量a,再通过assert对执行变量a

在这里插入图片描述
提交后
在这里插入图片描述
-------------------------------------------------------------------分割线----------------------------------------------------------------------

(2) 或者用php中的str_replace函数替换变量中指定的字符串为空

$y=str_replace('x','','pxhpxinxfo()');assert($y);
在这里插入图片描述
提交后
在这里插入图片描述
-------------------------------------------------------------------分割线----------------------------------------------------------------------

(3) 上面的方法都有用到assert来执行phpinfo(); 如果assert也被过滤了呢
此时我们也可以用拼接字符串或者str_replace拆分来绕过关键字

$x='asse';$xx='rt';$xxx=$x.$xx;$y=str_replace('x','','pxhpxinxfo()');$xxx($y);

在这里插入图片描述
-------------------------------------------------------------------分割线----------------------------------------------------------------------

也可以通过$_REQUEST提交方式绕过
在这里插入图片描述
总之方法又很多,值得去思考!

深白色耳机
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(48.4)【WAF绕过】SQL注入、文件上传、XSS
05-20 601
WAF绕过】合集
文件上传的一些简单绕过
qq_52469895的博客
04-10 1891
文件上传宝塔WAF 0x00:写在前面 0x01:上传绕过后缀检测的姿势 方法1:文件名14.\np\nh\np绕过(如下0x02的方法1所示) 方法2:0a污染就能传php了(改hex) 0x02:绕过宝塔waf检测的文件内容书写 方法1:文件名14.\np\nh\np绕过,用个deskop.ini做一下污染 写马。 deskop.ini污染,就是类似windows dos窗口下制作图片🐎一样,二进制揉在一起。 POST /sandbox/i9pkda6liup7jd81u
记一次绕过宝塔防火墙的BC站渗透
小司机的奥拓
05-27 579
由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息这是一个查询代理帐号的站 url输入admin 自动跳转至后台看这个参数 猜测可能是thinkCMFthinkcmf正好有一个RCE 可以尝试一下白屏是个好兆头 应该是成功了访问一下尝试蚁剑连接 直接报错 猜测可能遇到防火墙了然后再回来看一下shell 手动尝试一个phpinfo果然存在宝塔防火墙。
Sqlmap 简单使用
qq_31561731的博客
01-02 1288
使用工具探测出注入点后使用sqlmap注入的简单流程(傻瓜式跟着复制就可以使用): 1.sqlmap -u url --random-agent(这个探测出数据库类型) 2.sqlmap -u url --random-agent --current-db(这个探测出数据库的名字 ) 3.sqlmap -u url --random-agent -D 数据库名 -tables(枚举出数据库中的表) 4.sqlmap -u url --random-agent -D 数据库名 -T 表名 --colum
深入waf绕过 (云盾,宝塔安全狗)(19)
san3144393495的博客
05-07 4399
这个意思是他接受php后面的参数id,这个静态资源什么意思,这个waf很有可能过滤的是基于脚本类型的参数,也就是针对这种脚本类型的文件在进行过滤,针对某一些其他格式就不会过滤,比如图片格式文本格式,因为图片和文本格式一般不会带参数,造成不了危害,只有脚本里面有代码,或者是图片的代码没有危害,waf设计的时候就针对脚本格式和后缀里面的参数进行拦截,从网络层获取的 ip,这种一般伪造不来,如果是获取客户端的 IP,这样就可能存在伪造 IP 绕过的情。从请求来的数据包里面添加上面这五类。第二种方式 静态资源。
文件上传之,waf绕过(24)
san3144393495的博客
05-20 1460
前期upload第二关的时候,判断的方式就是mime的类型的绕过绕过miem是图片类型就可以上传,没有验证后缀,这是代码的判断,我们在来探针一下防护软件是怎么判断的,现在第二关上传一个图片上去,抓住数据包,mime满足就可以上传,所以把上传的文件名字改成php格式,本来这是可以正常上传成功的。mime可以作为一个验证条件,验证mime来判断你个文件一个合法性的时候,可以通过更改mime来达到一个伪造,比如上传一个php文件,这时候可以更改为图片类来尝试绕过mime验证。
实战|记一次绕过宝塔防火墙的BC站渗透
热门推荐
zhangge3663的博客
05-06 1万+
0x00 信息收集 由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息 这是一个查询代理帐号的站 url输入admin 自动跳转至后台 看这个参数,猜测可能是thinkCMF 0x01 getshell thinkcmf正好有一个RCE 可以尝试一下 ?a=fetch&templateFile=public/index&prefix='' &content=<php>file_put_content
第18天:WEB漏洞-SQL注入之堆叠及WAF绕过注入1
08-03
WEB 漏洞-SQL 注入之堆叠及 WAF 绕过注入 SQL 注入是一种常见的 WEB 漏洞攻击方式,通过将恶意 SQL 语句嵌入到 Web 应用程序的输入参数中,从而访问、修改或控制数据库的数据。堆叠注入(Stacked Injections)是 ...
ByPassWAF&注入-漏洞银行大咖面对面11-倾旋
07-31
ByPassWAF&注入-漏洞银行大咖面对面11-倾旋
基于正则类sql注入防御的绕过技巧.pdf
08-07
Range之前发现了xx狗的...分别讲了注释类绕过和长度类绕过,另外也说明了各类waf通常对POST注入默认不开启,通过默认配置的遗漏来绕过注入防御。并展示了拒绝服务漏洞的视频,以及挖掘思路。 简介 注释类 长度类 终极版
TSRC挑战赛:WAF之SQL注入绕过挑战实录.pdf
09-18
TSRC挑战赛:WAF之SQL注入绕过挑战实录 红蓝对抗 安全架构 大数据 金融安全 漏洞挖掘
分块传输绕过WAF进行SQL注入1
08-03
在SQL注入攻击的场景中,分块传输编码可能被用来绕过Web应用防火墙(WAF)。由于WAF通常基于预定义的规则来检测和阻止恶意请求,它可能无法正确解析分块编码的请求体,从而忽略了其中可能存在的恶意SQL语句。攻击者...
文件上传漏洞
qq_55894976的博客
04-01 167
上传带有后门的图片,然后找到图片的路径,对路径进行代码环境的执行,例如在图片url后+1.php执行php环境,(如果找不到路径可以通过搜索cms查看是否有文件上传漏洞)在通过PHP的相应函数(比如include())引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。造成重复数据的上传,看是否会被拦截。在后缀名后面加一个空格进行上传绕过之后上传的文件会自动将空格去掉,例如在windows中创建一个后缀名带空格的文件,会自动去掉空格。
设置open_basedir防止跨站攻击
小马哥的博客
02-06 877
通过设置open_basedir将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。
24 WEB漏洞-文件上传WAF绕过安全修复
山兔的博客
08-25 1361
我这个测试是没有必要的,这只是说大家以后碰到同类的防护软件,不管是安全狗还是宝塔安全公司里面的产品,那么大家在研究的时候,也是这么个研究方法,大家不要自己绕过绕过了,我们学的是研究的方法后期只要脑瓜子灵活一点,是没有任何问题是可以绕过的,方法学不到,那讲了也是白讲,我希望大家学的是绕过的方法,以后自己就能做这个事情。.php,它的意义是很明显的,因为安全狗也是程序,当它碰到截断,也是会截断的,后面的.php就没有匹配到,最后上传的后缀是.php就行了。这是垃圾数据的一个典型情况,末尾是要加;
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 3732
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
实战纪实 | 记一次绕过宝塔的的文件上传
2301_80127209的博客
03-15 455
这里只是讲述了文件上传的新思路,如果不能成功上传一句话就不需要再去尝试直接上传一句话,可以考虑先上传不会被查杀的php文件,然后通过这个文件生成一句话,按照这种思路,生成一句话的方法就有很多种,就不限于这种加密之后再解密。如上,由于此文件并没有危险函数,所以并未被删除,成功返回路径,需要执行这个php文件就得在web上访问一下他,利用返回的路径,在浏览器访问这个文件,该文件成功执行。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
RCE绕过宝塔WAF(php)
weixin_43916797的博客
07-11 1233
1.参数bin2hex加密,例如phpinfo(): 编写脚本得到加密后的数据:706870696e666f28293b <?php $str = "phpinfo();"; $hex = bin2hex($str); echo($hex) ?> url的参数为:www.xx.com?x=hex=′706870696e666f28293b′;assert(pack("H∗",hex='706870696e666f28293b';assert(pack("H*",hex=′706870696e6
PythonPHP异或免杀马制作以及使用编码器和解码器绕过宝塔实现webshell控制
qq_61616350的博客
12-21 1155
我们先用$a接收加密 create_function后的结果,$a = ('3'^'P').(')'^'[').(')'^'L').(')'^'H').(')'^']').(')'^'L').(')'^'v').(')'^'O').(')'^'\\').(')'^'G').(')'^'J').(')'^']').(')'^'@').(')'^'F').(')'^'G');不知道为什么我的ASSERT()函数使用蚁剑连接不上,所以我就用了自定义函数的方法来制作木马。我上传的shell也被宝塔拦截了。
waf绕过sql注入
最新发布
06-26
WAF绕过SQL注入通常是攻击者针对WAF安全策略和技术限制来实施的一种技术手段,常见的方法包括: 1. **参数编码和转义**: 攻击者可能会尝试使用特殊字符的转义序列,如\"\'(单引号)或\"\"(双引号),来欺骗WAF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值