0*00 前言
現(xiàn)在針對(duì)web文件代碼檢測(cè)的安全類保護(hù)軟件是越來(lái)越多了??現(xiàn)在大多常見(jiàn)的廠商安全檢測(cè)軟件比如;安全狗,360網(wǎng)站衛(wèi)士拧簸,安全寶等等這些東西 但是這些功能大多都是一樣的
1.sql注入檢測(cè)與攔截
2.xss注入的攔截
3.應(yīng)用風(fēng)險(xiǎn)的攔截
4.流量保護(hù)
5.資源保護(hù)
6.黑白名單
7.網(wǎng)馬查殺
8.防護(hù)cc ddos
等等大致都是一樣的
然而這些軟件的功能原理是什么呢??一句話很多軟件都是用于‘針對(duì)一些關(guān)鍵字的匹配正則’
也就是這樣才使你的網(wǎng)站更加安全??這些軟件的檢測(cè)項(xiàng)目有哪些呢?
01 URL
02 COOKIE
03 POST 內(nèi)容
04 GET
所以說(shuō)我們想要過(guò)掉這些軟件 就要先過(guò)掉他的匹配正則??這往往也是重重之重!M盖!
一句話過(guò)掉WAF??就要像你軟件一樣過(guò)免殺 就需要你去改掉他的特征碼??下面我就給大家談?wù)剮追N一句話過(guò)掉WAF 的方法
這是很普通也很常用的php的一句話木馬??我們學(xué)習(xí)這些一定要知道 一句話的工作原理吧!
我們把這樣的一句話放到D盾里面看看
很明顯直接被秒殺??也就是說(shuō)即使你的木馬已經(jīng)上傳到了對(duì)方網(wǎng)站的目錄里面了磕秤,訪問(wèn)的時(shí)候也會(huì)被WAF殺掉??那么它就失去它的意義了 更別要說(shuō)去利用它了??那我們只能去 想想辦法咯
0*01??方法乳乌!
網(wǎng)上也有很多過(guò)WAF的方法 大家也可以去學(xué)習(xí)下? ?我給大家總結(jié)下 方法有哪些
[AppleScript]純文本查看復(fù)制代碼
1
使用加密過(guò)WAF
加密這一塊 現(xiàn)在不是用的很多啊 但也是非常簡(jiǎn)單的 現(xiàn)在的一些防護(hù)軟件針對(duì)一句話的查別 幾乎都是這么個(gè)原理
${}執(zhí)行 ,`執(zhí)行市咆,
preg_replace執(zhí)行,call_user_func,file_put_contents,fputs 等特殊函數(shù)的參數(shù)進(jìn)行針對(duì)性的識(shí)別
就是這些??如果我們把這些都給加密了??讓我們的一句話木馬變得更具有誘惑性汉操! 讓管理員看不出來(lái)不就可以了嗎???所以這個(gè)大家可以去網(wǎng)上找找一些加密軟件 嘗試這實(shí)踐下蒙兰!
[AppleScript]純文本查看復(fù)制代碼
1
使用包含過(guò)掉WAF
包含的原理呢??就是你上傳一個(gè)一句話木馬到 對(duì)方網(wǎng)站目錄之后 如果有WAF??你的木馬就會(huì)被切斷對(duì)吧??這就相當(dāng)于我們滲透常說(shuō)的文件包含? ?你在目錄里上傳一句話木馬之后??改成jpg格式的 這樣一句話就不會(huì)執(zhí)行了??這樣就可以躲避掉防火墻的掃描
這里的木馬我們隨便都可以的我下面就以asp的來(lái)演示磷瘤,這樣就可以了? ?我們繼續(xù)下一步芒篷。創(chuàng)建一個(gè)asp的文件??輸入代碼
[AppleScript]純文本查看復(fù)制代碼
1
這里的2.jpg 我們可以自定義??你的馬是什么名字就改成什么名字
這里一定要注意!采缚!? ?你的文件一定要是在同一個(gè)目錄的才行??同一個(gè)目錄??同一個(gè)目錄
0*02 解釋
上面的那段代碼的意思是什么呢??就是 包含當(dāng)前目錄下2.jpg這個(gè)文件 吧這個(gè)1.jpg 移到我們的這個(gè)asp文件里面??講1.jpg當(dāng)成asp格式進(jìn)行執(zhí)行? ?這里要說(shuō)一下? ?WAF開始會(huì)查詢你保存的jpg格式的這個(gè)文件 就算他查到你這個(gè)文件含有一句話 但是他自動(dòng)會(huì)認(rèn)為你執(zhí)行不了??因?yàn)槟闶莂sp形式的馬??jpg當(dāng)然不能執(zhí)行對(duì)吧??然后他再去掃你那個(gè)含有代碼的文件??他只能掃到你這個(gè)文件里面含有包含的代碼卻沒(méi)有危險(xiǎn)性的代碼??就是這樣针炉!??因?yàn)檫@個(gè)文件包含了我們的一句話木馬??所以你鏈接客戶端??所以就打開你包含文件的路徑名字就可以了進(jìn)行鏈接了
過(guò)狗一句話的分析!
[AppleScript]純文本查看復(fù)制代碼
1
2
3//
WebAdmin2Y.x.y aaaaa=newWebAdmin2Y.x.y("add6bb58e139be10");
//]]>密碼WebAdmin
大家可以看下??它的原理是什么呢扳抽?? ?就是他不停的加載這些變量??然后通過(guò)一些函數(shù) 把它加載里面 組成一句話代碼 這樣就從而達(dá)到客戶端連接和繞過(guò)安全狗的功能
i春秋 小白騰飛的地方4叟痢!
作者:king總
來(lái)源:http://bbs.ichunqiu.com/thread-8785-1-1.html?from=ch
