用户
搜索
  • TA的每日心情
    开心
    2016-10-30 16:15
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋-见习白帽

    Rank: 3Rank: 3

    19

    主题

    34

    帖子

    215

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2016-6-6
    发表于 4 天前 124899

    0x00 背景

    这周学弟学妹经常提问到如何绕过安全防护软件的检测,那么本篇就以dog为例子带大家走一遍dogByPass的一条龙服务流程,本篇仅提供思路,后续可能由于软件规则的更新而需要重新设置或更改规则,所以先带大家走一遍流程,熟悉后各位便能自行去更改规则了。
    dogByPass的一条龙服务:
    上传ByPass -> 一句话ByPass -> cknife ByPass


    0x01 UploadByPass

    在目标站点有上传漏洞并使用dog防护的时候,可以使用如下的方式绕过。
    在服务端写好未做任何限制的上传脚本,然后直接上传php文件,发现被dog拦截了。

    01  1.png

    最基本的方式可以通过对request的报文进行FUZZ,得到绕过防护软件的方式。
    举个栗子在filename=后面加上空格,TAB等空字符再跟上文件名,可以绕过dog的上传检测。

    01 2.png

    又一个栗子在分号的前后加上一定数量的TAB,在测试中是加入了466个TAB字符,可以绕过dog的上传检测。

    01  3.png


    0x02 OneWordByPass

    dog By Pass 的一句话可以参考往篇的文章:
    https://mp.weixin.qq.com/s/5EYc-foPPvu9B0DKkUKmMw
    https://mp.weixin.qq.com/s/vzNx1qz6iTnOUurW0hO2MQ
    绕过上传后,普通的一句话会被dog查杀,因此需要特殊的一句话,又为了能够使用cknife连接而不是手动连接的方式,因此需要在传输的过程中对内容进行编码或加密,最简单的方式就是使用base64编码,上传后没有被查杀,因为这个一句话是免杀的。

    免杀1.png

    免杀2.png


    使用手动连接的方式确认一句话可以正常使用,把POST请求中参数的值cmd=system(‘whoami’) 进行base64编码得到cmd=c3lzdGVtKCd3aG9hbWknKQ==,提交后正常执行。

    执行.png

    0x03 CknifeByPass

    正常情况下Cknife发送的数据是没有进行编码或加密的,因此会造成某些敏感关键字被dog检测到从而被拦截,所以为了能够让Cknife能够发送编码或加密的内容可以在cknife中的Config.ini配置发包规则。

    首先查看默认情况下Cknife的发包规则,设置Cknife的代理地址和端口是BurpSuite的地址和端口。

    端口.png

    使用BurpSuite拦截Cknife的请求包,然后发送的repeater,可以看到因为cmd参数的值中包含敏感关键字从而被dog拦截。cmd是免杀一句话的密码。

    cmd.png

    拦截后Cknife无法正常使用,直接报错。

    baocuo.png

    接下来开始对Cknife进行修改,打开Config.ini文件,这里以PHP为例子,找到PHP_MAKE,将PHP_MAKE中的值eval(base64_decode($_POST[action]))进行base64编码,编辑好后保存config.ini

    in1.png

    in 2.png

    重新启动Cknife,使用BurpSuite监测请求包,cmd参数的值成功被转成base64编码的数据,由于上一步的免杀一句话会进行base64解码,所以请求可以正常运行。

    运行.png

    此时关闭BurpSuite的拦截,cknife可以正常使用,本篇介绍的流程也就到此结束。

    结束.png




    0x04 小小总结

    本篇重在带大家走下dogByPass的一条龙服务流程,提供一些bypass的思路,但bypass的技巧都是要靠不断的学习和积累的,并且由于cknife是开源的所以为很多骚操作提供很好的支撑。cknife还要很多知识本篇没有涉及到后续再进行总结和探讨。期待大家的交流和讨论。

    640.webp.jpg

    厉害了,打狗棒法
    使用道具 举报 回复
    感谢分享!base64现在还能过狗啊
    使用道具 举报 回复
    厉害了记录记录
    使用道具 举报 回复
    使用道具 举报 回复
    1.修改上传的文件名为超长文件名。
    2.修改上传文件内容,在内容中加很多注释,据说文件大小达到1.5M或者以上时,安全狗不在检测。
    使用道具 举报 回复
    最新的打狗棒法~get~
    使用道具 举报 回复
    厉害啊 大佬  。楼上说在里面加水 大于1.5M  那得加多少啊
    使用道具 举报 回复
    xoanHn i春秋作家 http://www.laimooc.cn/ i春秋签约作者
    8#
    发表于 3 天前
    给表哥点赞,所以表哥我可以转载一下你的这篇文章吗?我觉得不错
    找到后台了,搞他? http://www.laimooc.cn/page/admin.html
    使用道具 举报 回复

    厉害了
    使用道具 举报 回复
    1.5M的数据要多大啊,
    不服你TMD来打我啊!
    使用道具 举报 回复
    xoanHn 发表于 2017-11-15 09:34
    给表哥点赞,所以表哥我可以转载一下你的这篇文章吗?我觉得不错

    可以的  麻烦注明下来源于漏斗社区  谢谢
    使用道具 举报 回复
    xoanHn i春秋作家 http://www.laimooc.cn/ i春秋签约作者
    12#
    发表于 前天 09:40
    yanzm 发表于 2017-11-15 21:03
    可以的  麻烦注明下来源于漏斗社区  谢谢

    准了 谢表哥
    找到后台了,搞他? http://www.laimooc.cn/page/admin.html
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册