1. 威客安全首页
  2. 安全资讯

蚁剑流量分析到改装蚁剑之waf 绕过


1. 蚁剑流量分析

1. 环境如下

靶机 windows 2008 R2   攻击机器 win10 蚁剑2.0.4 

1. 木马如下:

<?php eval($_POST[1]) ?>

蚁剑编辑器有如下几种

蚁剑流量分析到改装蚁剑之waf 绕过


还有一种传递方式

蚁剑流量分析到改装蚁剑之waf 绕过



加上这个mulipart 发包之后。数据包会像如下这样
multipart/form-data

蚁剑流量分析到改装蚁剑之waf 绕过

这样的一种传值方式。如果不懂如下链接 https://blog.csdn.net/supwuq/article/details/50765149

这种方式可以干扰waf的判断。有时候可以达到一种绕过waf 的效果

2. 流量如下:

蚁剑流量((默认)

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量 Random 模式

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑 base64模式

蚁剑流量分析到改装蚁剑之waf 绕过Chr 模式

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

Chr16

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

Ro13

蚁剑流量分析到改装蚁剑之waf 绕过

还有是加上multipart 模式的情况下

默认模式

蚁剑流量分析到改装蚁剑之waf 绕过

随机模式

蚁剑流量分析到改装蚁剑之waf 绕过

Base64

蚁剑流量分析到改装蚁剑之waf 绕过

Chr 模式

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

Chr16

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

Ro13

蚁剑流量分析到改装蚁剑之waf 绕过

如上是执行 了一个whoami 或者dir 命令。测试一两个sql语句尝试一下

执行一个select * from users;

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

3.分析流量

首先分析没有加上multipart 的情况。你会发现url 转码之后都是一些如下的函数例如

蚁剑流量分析到改装蚁剑之waf 绕过

第二个

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

第三个

蚁剑流量分析到改装蚁剑之waf 绕过

一些敏感函数比如@str_rot13  chr(105) @ini_set 这种类型的。常规waf 可以拦截的很死

再看看 multipart  模式下的情况相对 默认模式下的情况好多了。但是还有一个共性就是@eval 函数。之类的。也是不能完美的绕过waf 的

看了一下师傅的这篇文章https://xz.aliyun.com/t/4000

测试了一下


代码如下:

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过

然后执行的流量如下:

蚁剑流量分析到改装蚁剑之waf 绕过

这样一个效果之后,就没有任何的一个铭感信息了。然后就是一个木马部分了

蚁剑流量分析到改装蚁剑之waf 绕过

这个马子还可以过D盾。建议可以再嵌套几次。或者eval 那个地方可以拼接一下

蚁剑的连接方式如下:

蚁剑流量分析到改装蚁剑之waf 绕过

蚁剑流量分析到改装蚁剑之waf 绕过


更改UA 在modules/request.js 中

UA 如下:

const USER_AGENT = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36';

蚁剑流量分析到改装蚁剑之waf 绕过


效果如下:

蚁剑流量分析到改装蚁剑之waf 绕过


蚁剑流量分析到改装蚁剑之waf 绕过


结后语:如果碰到这种流量丢包的waf 也没辙



蚁剑流量分析到改装蚁剑之waf 绕过


原文始发于微信公众号(T00ls):蚁剑流量分析到改装蚁剑之waf 绕过

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论