#知识点:
1、脚本后门基础&原理
2、脚本后门查杀绕过机制
3、权限维持-覆盖&传参&加密&异或等
代码块&传参数据&工具指纹等(表面&行为)
1、代码表面层免杀-ASP&PHP&JSP&ASPX等
2、工具行为层免杀-菜刀&蚁剑&冰蝎&哥斯拉等
#章节点:
WAF绕过主要集中在信息收集,漏洞发现,漏洞利用,权限控制四个阶段。
#补充点:
1、什么是WAF?
Web Application Firewall(web应用防火墙),一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。
基本可以分为以下4种
软件型WAF
以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上是否有webshell,是否有文件被创建等。
硬件型WAF
以硬件形式部署在链路中,支持多种部署方式。当串联到链路上时可以拦截恶意流量,在旁路监听模式时只记录攻击但是不进行拦截。
云 WAF
一般以反向代理的形式工作,通过配置后,使对网站的请求数据优先经过WAF主机,在WAF主机对数据进行过滤后再传给服务器
网站内置的WAF
就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的
2、如何判断WAF?
Wafw00f,看图识别,其他项目脚本平台
https://mp.weixin.qq.com/s/3uUZKryCufQ_HcuMc8ZgQQ
3、常见WAF拓扑&防护?
见上图流量走向&常见漏洞
4、目前有哪些常见WAF产品?
参考:https://blog.csdn.net/w2sft/article/details/104533082/
① 硬件型
硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。
② 软件型
这种类型的WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、ShareWAF、安全狗等。
③ 云WAF
随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。阿里云、腾讯云、深信服云WAF、Imperva WAF是这类WAF的典型代表。
对比工具代码-菜刀&蚁剑&冰蝎&哥斯拉&天蝎等
天蝎连接地址:http://127.0.0.1:8081/web/code/api.php 密码:sky
冰蝎连接地址:http://127.0.0.1:8081/web/code/shell.php 密码:rebeyond
哥斯拉连接地址:http://127.0.0.1:8081/web/code/gesila.php 密码:默认
菜刀&蚁剑连接地址:http://127.0.0.1:8081/web/code/yijian.php 密码:x
启动天蝎:java -jar tianxie.jar
可以进行文件管理,虚拟终端代理等操作,比较推荐。
直接运行bat程序进行启动,可以进行命令执行 反弹shell等操作。
哥斯拉直接运行jar包就可以执行。
他可以进行对后门的流量进行加密解密操作,让waf无法铺抓到这个流量特征。
中国蚁剑,直接运行exe程序就可以启动。后门代码与中国菜刀一致。
对比WAF规则-函数匹配&工具指纹等
一般在蓝队面试的题中,都会问到指纹特征,流量特征。或者说是如何知道是哥斯拉或者冰蝎等工具。
很多敏感性的函数,敏感的工具,都会有进行检测。
浙公网安备 33010602011771号